Data Intelligence Offensive

Die Data Intelligence Offensive wurde 2018 gegründet und ist aus dem Leitprojekt „Data Market Austria“ hervorgegangen. DIO begleitet Stakeholder:innen ganzheitlich zum Thema Daten Ökonomie: Von Matchmaking und gemeinsamer Konsortienbildung, über Use Case – Findung und Umsetzung in Design Thinking Workshops, bis hin zur Beratung bezüglich technischer, rechtlicher und wirtschaftlicher Umsetzung z.B. durch die Bereitstellung von Data Management Plänen und Vernetzung mit technischen Providern.

Das DIO-Netzwerk wächst stetig. Es besteht aus datenproduzierenden, datenverarbeitenden und datennutzenden Stakeholdern, die gemeinsam an der Etablierung eines nachhaltigen Datenmarkts arbeiten, sich dadurch weiterentwickeln und Vorteile daraus ziehen.

Weitere Informationen zu unserem Netzwerk finden Sie hier.

Ziel des Projektes Gaia-X ist es, dass Organisationen, Unternehmen sowie Nutzer:innen Daten effizient und ökonomisch verarbeiten und untereinander teilen können, aber dennoch weiterhin die Kontrolle über diese Daten behalten. Damit wird ein Rahmen geschaffen, der fundamentalen europäischen Werten gerecht wird und der weltweit eine faire Chance auf Teilnahme am digitalen Markt ermöglicht. 

DIO ist ein Verein zur Förderung der Datenökonomie und der Optimierung von Datentechnologien in Österreich. Als neutrale Kommunikationsplattform ist DIO die Schnittstelle zwischen Wirtschaft, Forschung und öffentlichen Institutionen. Die DIO will Geschäftsmodelle für den Austausch und die Monetarisierung von Daten nach strengsten ethischen und rechtlichen Maßstäben vorantreiben und fördern.  

Gaia-X ist eine Organisation, die die Richtlinien und Policies definiert, die Organisationen als Orientierungspunkte für den Aufbau von Data Spaces übernehmen können. Die DIO schafft einen Raum für die Unternehmen/Organisationen, die praktischen Projekte nach diesen Richtlinien umzusetzen. 

Data Spaces

Ein Data Space ist ein digitaler, sicherer Marktplatz für die dezentrale Datenökonomie, in denen Teilnehmer:innen Daten und Algorithmen entlang der europäischen rechtlichen Standards (DSGVO, Data Act, Data Governance Act etc.) organisieren, tauschen & handeln können. Diese rechtlichen Rahmenbedingungen sind durch GAIA-X und International Data Spaces Association (IDSA) in open-source Software, sogenannten Konnektoren implementiert und bilden die Grundlage für ein dezentrales Datenökosystem nach europäischen Werten.

Datenanbieter:innen

Datenanbieter:innen beschreiben ihre Daten und geben diese als Metadaten in den Data Space (Rohdaten bleiben bei Datenanbieter:innen, nur die Beschreibung der Daten wird abgelegt)

Zudem legen Sie Zugriffs- und Nutzungsrechte und ggf. ihre Preise fest.

Daten-Marktplatz

Der Datenmarktplatz ist die Kernfunktionalität des Data Space und fungiert als sichere Handels- und Tauschportal und bietet Funktionen zur Datenverarbeitung und -verwaltung. Die Data Offers (Datenangebote) sind in einem Datenkatalog aufgelistet.

Datennutzer:innen

Datennutzer:innen suchen auf dem Datenmarktplatz nach relevanten Meta-Daten. Nach der Bezahlung erhalten diese die Rohdaten direkt „peer to peer“ aus der Datenquelle des Datenanbieters. Diese werden nun weiterverarbeitet z.B. mittels Vorhersagen oder Visualisierungen und können dem Data Space zur Verfügung gestellt werden.

Data Spaces bieten mehrere Vorteile, wie zum Beispiel:

  • Sie ermöglichen es, Daten zu teilen, ohne die Kontrolle über sie zu verlieren. 
  • Sie fördern die Zusammenarbeit und Innovation zwischen verschiedenen Partnern. 
  • Sie schaffen Vertrauen und Transparenz in der Datenökonomie. 
  • Sie eröffnen neue Geschäftsmodelle und Wertschöpfungsmöglichkeiten. 

Um an einem Data Space teilzunehmen, wird ein Connector benötigt, der mit den IDS-Standards kompatibel ist. Ein Connector kann entweder selbst entwickelt oder einen bestehenden Connector von einem Anbieter erworben wirdMitglieder der IDSA werden über aktuelle Entwicklungen informierund haben die Möglichkeit an der Gestaltung der Standards mitzuwirken. 

1) Prüfung, ob und welche Daten bereitgestellt werden können: Zunächst ist intern zu prüfen, ob die Bereitstellung der Daten, die im Data Space geteilt werden sollen, rechtlich zulässig ist. Sofern personenbezogene Daten involviert sind, sind die datenschutzrechtlichen Vorgaben (insbesondere DSGVO) einzuhalten und ggf. die internen Prozesse anzupassen. Bei nicht-personenbezogenen Daten ist zu prüfen, ob man die erforderlichen Nutzungs-/Verwertungsrechte hat, um die Daten anderen bereitzustellen (z.B. sind es „eigene“ Daten oder von Dritten?). Außerdem ist zu klären, ob es sich bei den Daten möglicherweise um Betriebs- und Geschäftsgeheimnisse handelt und falls ja, wie deren Schutz im Fall der Bereitstellung gewährleistet werden kann (z.B. aufgrund entsprechender vertraglicher Vereinbarungen mit den Datennutzern). Je nach konkretem Fall und Unternehmen/Organisation können auch zusätzliche Rechtsbereiche bei dieser internen Prüfung relevant sein (z.B. Arbeitsrecht bei der Bereitstellung von Daten im Mitarbeiterkontext).

2) Prüfung der Bedingungen des Data-Space-Bereitstellers: Sobald geklärt ist, welche Daten unter welchen Umständen bereitgestellt werden können, sollte man die Nutzungsbedingungen des jeweiligen Data-Space-Bereitstellers prüfen, insbesondere, ob diese für die geplante Bereitstellung geeignet sind. Durch den Beitritt zu einem Data Space schließt nämlich grundsätzlich jeder Teilnehmer des Data Spaces auch ein Vertragsverhältnis mit dem Data Space Bereitsteller ab. In dem Zusammenhang kann ggf. relevant sein, ob bzw. inwiefern ein Support besteht und welche sonstigen Vorteile der konkrete Data-Space-Bereitsteller zu anderen Anbietern hat (z.B. leichte Zugänglichkeit/Implementierung, gute Usability, große User-Base, etc.). Sofern ein Data-Space-Bereitsteller auch ein Datenvermittlungsdienst im Sinne des Data Governance Act ist, sind vom Data-Space-Bereitsteller gewisse gesetzliche Vorgaben grundsätzlich ab 24. September 2023 einzuhalten, welche die Nutzer des Data Space zusätzlich absichern.

3) Prüfung der Bedingungen für die Bereitstellung der Daten an Datennutzer: Besonders wichtig sind schließlich in diesem Kontext auch die Regelungen zur Datenbereitstellung zwischen Datenbereitsteller und Datennutzer: Um einem Datennutzer Daten bereitzustellen, muss grundsätzlich zwischen Datenbereitsteller und Datennutzer ein Vertrag abgeschlossen werden. In diesem Vertrag werden üblicherweise die Details der Datenbereitstellung geregelt (z.B. Preis/Entgelt für Daten, welche konkreten Daten werden zu welchen Bedingungen bereitgestellt, wie oft erfolgt eine Bereitstellung, was darf der Datennutzer mit den Daten machen, etc.) geregelt. Data-Space-Bereitsteller können in ihren Nutzungsbedingungen auch regeln, ob bzw. unter welchen Umständen solche Verträge zwischen den Teilnehmern des Data Space zustande kommen können. Alternativ ist es auch denkbar, dass der Vertragsabschluss völlig ohne eine Mitwirkung des Data Space Bereitstellers erfolgt. Zwischen diesen beiden Modellen sind auch „Mischmodelle“ denkbar. Generell ist bei vorgegebenen Bedingungen zu klären, ob diese für den jeweiligen Datenbereitsteller passen oder ob Abänderungen möglich sind.

Data Spaces können in verschiedenen Branchen und Bereichen eingesetzt werden, wie zum Beispiel: 

  • Industrie 4.0: Data Spaces können die Vernetzung und Optimierung von Produktionsprozessen unterstützen, indem sie den Austausch von Maschinendaten, Qualitätsdaten, Logistikdaten usw. ermöglichen. 
  • Gesundheit: Data Spaces können die medizinische Forschung und Versorgung verbessern, indem sie den Zugang zu Gesundheitsdaten wie Patientenakten, klinischen Studien, Genomdaten usw. erleichtern. 
  • Mobilität: Data Spaces können die Mobilitätsdienste und das Verkehrsmanagement verbessern, indem sie einen souveränen Austausch von Verkehrsdaten, Fahrzeugdaten, Standortdaten usw. ermöglichen. 

Weitere Data Spaces sind unter IDSA zu finden. 

Open-Source-Software für den souveränen Datenaustausch: Der Eclipse Dataspace Connector

Die Datenwirtschaft ist ein starker Motor für Innovation und neue Geschäftsmodelle. Portabilität, Interoperabilität, Souveränität und Transparenz sind allesamt Themen, die angegangen werden müssen. Verschiedene Projekte wie Gaia-X und der International Data Space (IDS) haben es sich zur Aufgabe gemacht, einen einheitlichen Standard für die gemeinsame Datennutzung (IDS) und die Infrastruktur (Gaia-X) in Form von Architekturmodellen zu etablieren und die Frage der Datenhoheit zu verankern, um diesem Bedarf gerecht zu werden. Das Konzept Data Spaces definiert das Zusammenspiel verschiedener technologischer Komponenten, um den Datenaustausch über (Unternehmens-)Grenzen unter Wahrung der Datensouveränität zu fördern.

Eine der wichtigsten Komponenten ist der sogenannte Connector, der die einzelnen Teilnehmer*innen eines solchen Data Space miteinander verbindet und den Endpunkt für den eigentlichen Datenaustausch nach bestehenden Standards bildet.

Eclipse Dataspace Connector

Das Konzept der Data Spaces verspricht neue Möglichkeiten des Datenaustauschs zwischen den Teilnehmer*innen im Hinblick auf die Datenhoheit. Um einen Data Space aufzubauen und an ihm teilzunehmen, reicht es nicht aus, bestehende Datenübertragungsprotokolle zu berücksichtigen. Es wird ein gemeinsamer Standard für die „Steuerungsebene“ benötigt, d. h. für die Erkennung, die Verbindung, die automatische Vertragsaushandlung, die Durchsetzung von Richtlinien und die Prüfung. Data-Space-Konnektoren fungieren als logische Torwächter, die in der Infrastruktur jedes/jeder Teilnehmenden sitzen und miteinander kommunizieren.

Der Eclipse Dataspace Connector (EDC) bietet ein Connector-Framework für den souveränen, organisationsübergreifenden Datenaustausch. Das Framework enthält Module für die Datenabfrage, den Datenaustausch, die Durchsetzung von Richtlinien (Policy Enforcement), das Monitoring und Auditing. Er lässt sich insbesondere in bestehende Identitäts-, Datenkatalog- und Transfertechnologien integrieren, um unternehmensübergreifende Compliance-, Richtlinien- und Kontrollfunktionen bereitzustellen.

Der EDC wird den IDS sowie relevante Protokolle im Zusammenhang mit dem GAIA-X Projekt implementieren. Er wird jedoch erweiterbar sein, sodass er alternative Protokolle unterstützen kann.

DIO ist Partner*in der Eclipse Foundation 

Die Eclipse Foundation bietet ein technisches Umfeld für das zukünftige Wachstum des Eclipse Dataspace Connector. Als europäische Stiftung passt sie zum Wertversprechen des EDC sowie den damit verbundenen Initiativen von Gaia-X und IDS.

Durch ihre Rolle als vertrauenswürdiger Partner wird die Entwicklung eines erweiterbaren, open-source Ökosystems für die gemeinsame Nutzung souveräner Daten so erleichtert. Der EDC hat somit das Potenzial in Zukunft weitere Projekte rund um IDS und Gaia-X voranzutreiben.

Auch DIO ist Mitglied der EF, um eine aktive Rolle bei der Unterstützung nachhaltiger, kommerziell nutzbarer Open-Source-Technologien, die allen zugute kommen, einzunehmen.

Mehr zum EDC und wie der Connector funktioniert, können Sie hier nachlesen.

Datenbasierte Zusammenarbeit in einem kollaborativen Netzwerk: der nexyo Data Hub

Angenommen eine Gemeinde wird durch eine Lawine von der Energieversorgung abgeschnitten – die einzige Chance, dass die Einwohner*innen Energie bekommen, ist der Transport von Biomasse per LKW. Doch wie hoch ist der Energieverbrauch in einer Gemeinde eigentlich wirklich? Denn es macht einen Unterschied wie viele Menschen sich gerade dort befinden, wie hoch die Tourismusaktivität ist, wie das Wetter ist und sogar welcher Wochentag es ist. Durch ein Zusammenführen dieser Daten kann dann der benötigte Energiebedarf für eben diese Gemeinde genauestens berechnet werden.

Was für eine Gemeinde denkbar ist, lässt sich jedoch auch in vielen anderen Szenarien umsetzen – denn ein Datenökosystem baut dabei auf eine Struktur von vielen kleineren Verbindungen auf, welche untereinander Daten verbinden, austauschen und Verträge knüpfen – genau das ermöglicht der nexyo Data Hub für Unternehmen.

Ein B2B-Datennetzwerk, das den Wert der Daten entfaltet

Durch das Zusammenbringen unterschiedlicher Daten können somit datenbasierte Innovation und neue Geschäftsmodelle entstehen. Daten können über Unternehmensgrenzen hinweg zu definierten Konditionen geteilt und genutzt werden und schaffen damit neue Wertschöpfung und Nutzen.

Der nexyo Hub ist eine Softwaretechnologie, um Daten einfach über Unternehmensgrenzen hinweg zu finden, zu verbinden und datenbasiert mit mehreren Stakeholdern zusammenzuarbeiten. Es dient damit als Infrastruktur für Datenökosysteme, um das volle Potenzial von Daten nutzbar zu machen.

Mithilfe der nexyo Software können ein- und ausgehenden Datenverbindungen verwaltet und eine einfache und übersichtliche Bedienung dieser Verbindungen ermöglicht werden. So können Daten ganz einfach zu individuellen Bedingungen auf einem offenen oder geschlossenen Marktplatz angeboten werden ohne dabei die Hoheit über die eigenen Daten zu verlieren.

Die Technologie von nexyo basiert dabei auf  den Grundpfeilern der EU-Leitinitiative Gaia-X, um ein offenes, transparentes und souveränes digitales Ökosystem fördern, in dem Daten und Dienste in einem vertrauensvollen Umfeld zur Verfügung gestellt, gesammelt und gemeinsam genutzt werden können. Damit ist nexyo voll kompatibel zu anderen internationalen Initiativen.

Die nexyo Software im Überblick:
  • Dezentrale Software-Architektur
  • Souveräne Datenspeicherung und -verarbeitung
  • Verwaltung von digitalen Verträgen und Richtlinien
  • Einfach zu bedienende UI für nicht-technische Benutzer*innen
  • Erstellung und Teilnahme an GAIA-X konformen Data Spaces
  • Standardisierte Datenübertragungen
  • Ein vertrauenswürdiges B2B Netzwerk für Daten

 

Data Act

Die Datenverordnung (Data Act; VO [EU] 2023/2854) soll zur Stärkung der Datenwirtschaft der EU und zur Förderung eines wettbewerbsfähigen Datenmarkts beitragen.

Der Data Act hat vor diesem Hintergrund einen weiten Anwendungsbereich und Regelungsgegenstand, und zwar insbesondere:

  • die Weitergabe und die Bereitstellung gewisser Daten von vernetzten Produkten oder verbundenen Diensten (z.B. IoT-Produkte), sowie damit verbundene vorvertragliche Informationspflichten und verbotene Vertragsklauseln,
  • die Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten, sowie damit verbundene Schutzmaßnahmen gegen den unrechtmäßigen Zugang Dritter zu nicht-personenbezogenen Daten,
  • Interoperabilitätsvorgaben für gewisse Szenarien sowie Regeln für den Einsatz von Smart Contracts,
  • sowie Regeln zu Sanktionen und Rechtsbehelfen.

Der Data Act betrifft grundsätzlich Hersteller/Anbieter vernetzter Produkte oder verbundener Dienste (zusammen nachfolgend als „vernetzte Produkte“ bezeichnet), Nutzer, Dateninhaber und Datenempfänger, öffentliche Stellen sowie Anbieter von Datenverarbeitungsdiensten.

Es handelt sich um eine EU-Verordnung; diese ist ab dem 12. September 2025 unmittelbar in der gesamten EU (somit auch in Österreich) anzuwenden. Sie gilt grundsätzlich für personenbezogene und nicht-personenbezogene Daten (das sind im Wesentlichen alle digitalen Darstellungen von Handlungen, Tatsachen oder Informationen).

Die Artikel 3ff Data Act regeln den Zugang zu und die Weitergabe von Daten vernetzter Produkte.   Unter vernetzte Produkte versteht der Data Act einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt. Diese Verpflichtungen gelten grundsätzlich im B2B- als auch im B2C-Bereich.

Dabei geht es im Regelfall um das Verhältnis zwischen dem Dateninhaber, das ist jene Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen (kann z.B. der Hersteller sein) und dem Nutzer, das ist jene Person, welche das vernetzte Produkt tatsächlich nutzt.

Der Data Act erfasst im Wesentlichen Produktdaten (das sind solche Daten, die durch die Nutzung eines vernetzten Produkts generiert werden) und Metadaten (strukturierte Informationen, die Daten beschreiben, erklären, lokalisieren oder anderweitig nutzbar machen).

Art 3 als zentrale Bestimmung im Data Act normiert, dass vernetzte Produkte so konzipiert und hergestellt werden müssen, dass die Daten standardmäßig für den jeweiligen Nutzer des vernetzten Produkts „einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format“ zugänglich sind.

Soweit der Nutzer nicht direkt vom vernetzten Produkt aus auf die Daten zugreifen kann, stellen die Dateninhaber dem Nutzer die Daten „unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit“ bereit (Art 4).  

Vor Abschluss von Verträgen, die solche vernetzten Produkte zum Gegenstand haben, bestehen auch umfassende vorvertragliche Informationspflichten (z.B. zu Generierung der Daten, Speicherung und Verwendung) des jeweiligen Verkäufers (bzw. Vermieters/Leasinggebers).

Um Unternehmen nicht davon abzuhalten, in datengenerierende Produkte zu investieren, können die gewonnenen Daten nicht zur Entwicklung eines konkurrierenden vernetzten Produkts verwendet werden; verbundene Dienste sind davon nicht erfasst (Art 4 Abs 10). 

Damit der Dateninhaber (z.B. der Hersteller) nicht-personenbezogene Daten des Nutzers nutzen darf, muss dieser grundsätzlich einen entsprechenden Vertrag mit dem Nutzer abschließen (Art 4 Abs 13).

Auf Verlangen eines Nutzers ist der Dateninhaber verpflichtet, Daten auch einem Dritten (z.B. anderen Anbieter, Datenempfänger) bereitzustellen (Art 5).

Diese Rechte sind zwingend und können nicht vertraglich ausgeschlossen werden.

Diese Verpflichtungen zur Datenbereitstellung gelten nicht für Kleinst- und Kleinunternehmen sowie bestimmte mittlere Unternehmen (Art 7). 

Die Bereitstellung von Daten (v.a. zwischen Dateninhaber und Dritten) muss zu fairen, angemessenen und nichtdiskriminierenden Bedingungen vereinbart werden (Art 8). Die Gegenleistung, die zwischen einem Dateninhaber und einem Datenempfänger für die Bereitstellung von Daten vereinbart wird, muss diskriminierungsfrei und angemessen sein und darf in bestimmten Fällen eine Marge enthalten (Art 9). Die Rechte des Nutzers nach Art 3 und Art 4 sind – wie oben festgehalten – unentgeltlich durchzuführen.  

Einseitig auferlegte Vertragsklauseln im B2B-Bereich sind nicht bindend, wenn sie missbräuchlich sind, worunter eine grobe Abweichung von der guten Geschäftspraxis oder ein Verstoß gegen Treu und Glauben zu verstehen ist (Art 13). Unzulässig sind z.B. Klauseln, welche vorsehen (i) den Ausschluss oder die Beschränkung der Haftung für vorsätzliche oder grob fahrlässige Handlungen, (ii) den Ausschluss oder die unangemessene Beschränkung der Rechtsbehelfe im Fall der Nichterfüllung von Vertragspflichten oder (iii) das Recht, zu bestimmen, ob Daten vertragsgemäß sind, jener Partei zukommt, welche die einseitige Klausel eingeführt hat.

In Fällen außergewöhnlicher Notwendigkeit (z.B. öffentlicher Notstand) müssen Daten auch für öffentliche Stellen, die EU-Kommission, die EZB und andere Einrichtungen der EU bereitgestellt werden (Art 14 ff).

Unter Datenverarbeitungsdienste versteht der Data Act eine digitale Dienstleistung, die einen auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen ermöglicht.

Anbieter von Datenverarbeitungsdiensten müssen es Kunden ermöglichen, zu einem anderen Datenverarbeitungsdienst oder zu einer IKT-Infrastruktur in eigenen Räumlichkeiten zu wechseln. Insbesondere dürfen keine vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse geschaffen oder aufrechterhalten werden.

Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechsel müssen in einem schriftlichen Vertrag mit einem gesetzlichen Mindestinhalt festgelegt werden. Anbieter müssen dem Kunden zudem ausführliche Informationen zum Wechselprozedere und den Konditionen bereitstellen.

Datenverarbeitungsdienste müssen auch sicherstellen, dass staatlicher Zugang zu und die staatliche Übermittlung von in der Union gespeicherten, nicht-personenbezogenen Daten im internationalen Umfeld und durch Drittländer verhindert wird, sofern dies im Widerspruch zum Unionsrecht oder zum nationalen Recht stehen würde (Art 32).

Teilnehmer an Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten, müssen gewisse Anforderungen zur Erleichterung der Interoperabilität von Daten erfüllen (z.B. Beschreibung des Datensatzinhaltes, von Nutzungsbeschränkungen und Datenqualität oder von technischen Mittel für den Datenzugang). Dazu wird es voraussichtlich spezifizierende und ergänzende Durchführungsrechtsakte der EU geben. Auch für Anbieter von Datenverarbeitungsdienste werden gewisse Vorgaben zur Interoperabilität gemacht (Art 34f).

Sofern Smart Contracts für die Ausführung von Datenweitergabevereinbarungen verwendet werden, sieht Art 36 dafür auch zahlreiche Anforderungen vor (z.B. Robustheit und Zugangskontrolle, Datenarchivierung und Datenkontinuität).

Jeder Mitgliedstaat hat zuständige Behörden zu benennen, welche für Anwendung und Durchsetzung des Data Act verantwortlich sind.

Sofern Personen der Ansicht sind, dass Rechte in Zusammenhang mit dem Data Act verletzt worden sind, können diese eine Beschwerde bei der zuständigen Behörde einlegen (Art 38). Daneben haben Personen auch Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei Verstößen (Art 39).

Die Mitgliedsstaaten müssen Vorschriften zu Sanktionen erlassen, die wirksam, verhältnismäßig und abschreckend sind. Für Österreich gibt es aktuell dazu noch keinen verbindlichen Vorschlag.

Mehr zum Data Act finden Sie hier:

Data Governance Act

Der Daten-Governance-Rechtsakt (Data Governance Act; VO [EU] 2022/86) ist ein zentrales Element der europäischen Datenstrategie und zielt darauf ab, den vertrauenswürdigen und sicheren Austausch sowie die gemeinsame Nutzung von Daten zu fördern.

Der Data Governance Act schafft:

  • Bedingungen für die Weiterverwendung von Daten bestimmter Datenkategorien, die sich im Besitz öffentlicher Stellen befinden;
  • einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
  • einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten und
  • einen Rahmen für die Einsetzung eines Europäischen Dateninnovationsrats.

Der Data Governance Act trat am 23. Juni 2022 in Kraft und ist seit September 2023 anwendbar. In Österreich wurde er mit Stand März 2025 noch nicht vollinhaltlich umgesetzt, insbesondere fehlt noch die erforderliche Behördenstruktur.

Öffentliche Stellen verfügen über eine Vielzahl von Daten, die unter bestimmten Bedingungen für kommerzielle oder nicht-kommerzielle Zwecke weiterverwendet werden können. Der Data Governance Act regelt, wie bestimmte Kategorien geschützter Daten, die sich im Besitz öffentlicher Stellen befinden, zugänglich gemacht werden können, wobei der Schutz personenbezogener und vertraulicher Daten gewährleistet bleiben soll.

Unter Daten versteht der Data Governance Act „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“. Das umfasst sowohl personenbezogene als auch nicht personenbezogene Daten (Art 2 Z 1).

Weiterverwendung bedeutet, dass die Daten, die sich im Besitz öffentlicher Stellen befinden, für andere Zwecke genutzt werden als ursprünglich vorgesehen, wobei diese Nutzung kommerziell oder nicht-kommerziell erfolgen kann. Nicht davon umfasst ist der Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags (Art 2 Z 2).

Es wird keine Verpflichtung, die Weiterverwendung der Daten zu erlauben, geschaffen (Art 1 Abs 2). Die Bedingungen des Kapitels II zur Weiterverwendung finden somit nur Anwendung, wenn sich eine öffentliche Stelle dazu entscheidet, die Daten bereitzustellen, oder dieser eine gesetzliche Verpflichtung zur Bereitstellung der Daten auferlegt wird.

Die Bedingungen umfassen zudem nur bestimmte Datenkategorien geschützter Daten. Konkret sind das Daten, die sich im Besitz öffentlicher Stellen befinden und die geschützt sind aufgrund geschäftlicher Geheimhaltung, statistischer Geheimhaltung, des Schutzes des geistigen Eigentums Dritter oder des Schutzes personenbezogener Daten, die nicht in den Anwendungsbereich der RL EU (2019/1024)[1] fallen. 

Öffentliche Stellen, die nach nationalem Recht als zuständig benannt wurden (Art 7), können den Zugang zur Weiterverwendung von Daten zu diesen Datenkategorien gewähren oder verweigern. In Österreich wurde mit Stand März 2025 noch keine zuständige Stelle benannt.

Die zuständigen Stellen legen Bedingungen für das Erlauben der Weiterverwendung der Daten und das Verfahren für die Beantragung einer solchen Weiterverwendung fest und machen diese über die zentrale Informationsstelle (Art 8) öffentlich zugänglich (Art 5 Abs 1). Die Bedingungen müssen „in Bezug auf die Datenkategorien, die Zwecke der Weiterverwendung und die Art der Daten, deren Weiterverwendung erlaubt wird, nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein“ und dürfen den freien Wettbewerb nicht behindern (Art 5 Abs 2). Zudem sollen die Daten geschützt bleiben. Personenbezogene Daten sind daher zu anonymisieren und vertrauliche Geschäftsinformationen müssen entsprechend aggregiert oder aufbereitet werden. 

Ausschließlichkeitsvereinbarungen, also Vereinbarungen, wonach Daten ausschließlich von einem Weiterverwender genutzt werden dürfen, sind grundsätzlich untersagt und können nur getroffen werden, wenn dies für die Erbringung eines Dienstes oder die Bereitstellung eines Produktes im allgemeinen Interesse erforderlich ist und keine Alternativen bestehen (Art 4).

Die öffentliche Stelle stellt eine kontrollierte, sichere Verarbeitungsumgebung zur Verfügung, über die in der Regel ein Fernzugriff auf die Daten erfolgt. Sie hat das Recht, die Verwendung der Ergebnisse zu verbieten, wenn Rechte oder Interessen Dritter durch die Verwendung der Daten gefährdet werden, wobei sie diese Entscheidung verständlich und transparent begründen muss (Art 5 Abs 4).

Personen, die die Daten weiterverwenden, haben Geheimhaltungspflichten zu wahren und dürfen betroffenen Personen, auf die sich die Daten beziehen, nicht erneut identifizieren (Art 5 Abs 5).

Eine Weiterverwendung der Daten kann nicht erlaubt werden, wenn die Bedingungen für das Erlauben der Weiterverwendung nicht vorliegen und auch sonst keine andere Rechtsgrundlage dafür besteht. In diesem Fall unterstützt die öffentliche Stelle bei der Einholung der Einwilligungen der betroffenen Personen oder der Erlaubnis der Dateninhaber, sofern damit kein unverhältnismäßig hoher Aufwand für sie verbunden ist (Art 5 Abs 6).

Vorgesehen sind auch Bestimmungen für die Übermittlung von Daten in Drittstaaten (Art 5 Abs 9 ff) sowie zur Erhebung von transparenten, nichtdiskriminierenden, verhältnismäßigen und objektiv gerechtfertigten Gebühren für die Erlaubnis der Weiterverwendung der Daten (Art 6).

Neben den zuständigen öffentlichen Stellen wird in den Mitgliedsstaaten auch eine zentrale Informationsstelle eingerichtet, über die einschlägige Informationen über Bedingungen und Gebühren ersichtlich sind (Art 8).

Im nationalen Recht werden Fristen für die Entscheidungen über Anträge auf die Weiterverwendung von Daten festgelegt. Diese dürfen maximal 2 Monate nach Eingang des Antrags betragen und können bei komplexen Anträgen um bis zu 30 Tage verlängert werden.

[1] Die RL EU (2019/1024 bezieht sich auf offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors.

Der Data Governance Act fördert nicht nur die Weiterverwendung von Daten, die sich im Besitz öffentlicher Stellen befinden, sondern auch den Austausch von Daten zwischen Unternehmen. Datenvermittlungsdienste (auch: Datenintermediäre) fungieren dazu als Vermittler zwischen Dateninhabern und Datennutzern.

Dateninhaber sind juristische oder natürliche Personen, die nicht zugleich betroffene Personen sind, und die berechtigt sind, Zugang zu Daten zu gewähren oder Daten weitergeben (Art 2 Z 8). Datennutzer sind Personen, die rechtmäßig Zugang zu bestimmten Daten haben und berechtigt sind, diese für kommerzielle oder nicht-kommerzielle Zwecke zu nutzen (Art 2 Z 9).

Durch technische, rechtliche oder sonstige Mittel stellen Datenvermittlungsdienste Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits her, um die gemeinsame Datennutzung zu ermöglichen. Kein Datenvermittlungsdienst liegt vor, wenn bloße Cloud-Speicher oder Software zur gemeinsamen Datennutzung zur Verfügung gestellt werden.

Datenvermittlungsdienste sollen den sicheren und vertrauenswürdigen Austausch von Daten ermöglichen, ohne eigene kommerzielle Interessen an den Daten zu verfolgen oder die Daten zu anderen Zwecken als der Bereitstellung an Datennutzer zu nutzen. Sie unterliegen einem Anmeldeverfahren (Art 11) und müssen unter anderem Anforderungen an Neutralität, Sicherheit, Transparenz, Fairness und Interoperabilität erfüllen (Art 12).

Der Data Governance Act fördert die freiwillige gemeinsame Nutzung von Daten durch Einzelpersonen und Organisationen für gemeinnützige Zwecke, wie die Verbesserung der Gesundheitsversorgung, die Bekämpfung des Klimawandels oder die Förderung wissenschaftlicher Forschung. Die Mitgliedsstaaten können nationale Strategien festlegen, um den Datenaltruismus zu fördern (Art 16).

Organisationen, die Daten zu altruistischen Zwecken sammeln, können sich als „anerkannte Datenaltruismus-Organisationen“ in einem öffentlichen nationalen Register registrieren lassen und sollen ein gemeinsames Logo verwenden (Art 18). Eine datenaltruistische Organisation ist ohne Erwerbszweck. Sie unterliegt Transparenz-, Unabhängigkeits-, Informations- und Absicherungspflichten.

Ein Rahmen für einen Europäischen Dateninnovationsrat wird geschaffen, der als beratende Expertengruppe die Kommission u.a. bei der Umsetzung des Data Governance Act unterstützt (Art 29 f).

Der Data Governance Act sieht ein Beschwerderecht vor (Art 27), das vom nationalen Gesetzgeber auszugestalten ist. Ebenso steht Betroffenen ein Recht auf einen wirksamen Rechtsbehelf zu (Art 28). Bei Verstößen drohen Bußgelder, die von den Mitgliedstaaten festzulegen sind (Art 34). Das ist in Österreich mit Stand März 2025 noch nicht erfolgt.

AI Act

Die KI-Verordnung (KI-VO bzw. . AI Act; VO [EU] 2024/1689) schafft einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen und KI-Modellen in der EU. Durch den AI Act sollen die Einführung „menschenzentrierter und vertrauenswürdiger“ KI gefördert, ein hohes Schutzniveau für Gesundheit, Sicherheit und Grundrechte gewährleistet und Innovation unterstützt werden.

Der Anwendungsbereich und Regelungsgegenstand des AI Act umfasst:

  • Vorschriften für das Inverkehrbringen, die Inbetriebnahme und die Verwendung von KI-Systemen in der EU
  • Verbote bestimmter Praktiken im KI-Bereich;
  • Anforderungen an Hochrisiko-KI-Systeme und Pflichten für Akteure in Bezug auf Hochrisiko-KI-Systeme;
  • Transparenzvorschriften für bestimmte KI-Systeme;
  • Vorschriften für das Inverkehrbringen von KI-Modellen mit allgemeinem Verwendungszweck;
  • Vorschriften für die Marktbeobachtung, die Governance und Durchsetzung der Marktüberwachung sowie
  • Maßnahmen zur Innovationsförderung.

Der räumliche Anwendungsbereich des AI Act ist weit gefasst und erstreckt sich auf KI-Systeme bzw. KI-Modelle, die in der EU oder im EWR in Verkehr gebracht oder in Betrieb genommen werden, unabhängig davon, ob Anbieter oder Betreiber auch eine Niederlassung in der EU bzw. dem EWR haben. Zudem gilt der AI Act auch für Betreiber, die in Drittstaaten ansässig sind, wenn die Ergebnisse ihrer KI-Systeme in der EU bzw. dem EWR verwendet werden.

Der AI Act trat am 01. August 2024 in Kraft und wird stufenweise bis zum 02. August 2026 anwendbar sein. Davon ausgenommen sind Anforderungen an Hochrisiko-KI-Systeme nach Anhang I, die erst ab 02.08.2027 gelten.

Adressiert werden unterschiedliche Akteure, wie Anbieter, Betreiber, Einführer, Händler und Bevollmächtigte, die wiederum unterschiedliche Pflichten treffen.

Als Anbieter gilt jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System/-Modell entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in der EU bzw. dem EWR in Verkehr bringt oder das KI-System/-Modell unter ihrem eigenen Namen oder ihrer Handelsmarke – entgeltlich oder unentgeltlich – in Betrieb nimmt (Art 3 Z 3).

Als Betreiber gilt jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung im Rahmen ihrer beruflichen Tätigkeit verwendet (Art 3 Z 4). Ein Unternehmen, das ein KI-System zukauft, das die Personalabteilung unterstützt, gilt somit zB als Betreiber. 

Ein KI-System ist „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können (Art 3 Z 1).“ Unter diesen flexiblen Begriff fallen unterschiedliche Technologien. Erfasst werden zB Ansätze für maschinelles Lernen, aber auch logik- und wissensgestützte Systeme. Nicht als KI-Systeme gelten dagegen herkömmliche Softwaresysteme, die ausschließlich von Menschen vorab klar definierte Schritte automatisch ausführen (ErwGr 12), wie zB einfache Kalkulationssysteme. Die Kommission hat Leitlinien zur Definition von KI-Systemen veröffentlicht, die die praktische Auslegung der Definition von KI-Systemen erleichtern sollen.

Der AI Act folgt einem risikobasierten Ansatz zur Einstufung von KI-Systemen. Es wird unterschieden zwischen:

  • Verbotenen Praktiken;
  • Hochrisiko-KI-Systemen;
  • „Bestimmten KI-Systemen“ mit Transparenzrisiken und
  • sonstigen KI-Systemen (mit minimalem oder keinem Risiko).

Daneben bestehen Sonderbestimmungen für KI-Modelle mit allgemeinem Verwendungszweck, die wiederum in solche mit oder ohne systemisches Risiko unterschieden werden.

Die Risikoeinstufung hängt vom konkreten Verwendungszweck des KI-Systems ab. Verbotene Praktiken (Art 5) und Hochrisiko-KI-Systeme (Art 6, Anhang I und III) werden im AI Act abschließend definiert, wobei die Kommission ermächtigt ist, die Liste der Hochrisiko-KI-Systeme unter bestimmten Voraussetzungen anzupassen (Art 7). Verboten sind zB KI-Systeme, die Social Scoring durchführen. Als hochriskant gelten zB KI-Systeme, die bestimmungsgemäß als Sicherheitsbauteile für den Betrieb kritischer Infrastruktur eingesetzt werden sollen.

Die Schaffung von KI-Kompetenz (Art 4) ist eine wesentliche Anforderung des AI Act – unabhängig vom Risiko des jeweiligen KI-Systems. KI-Kompetenz meint „die Fähigkeiten, die Kenntnisse und das Verständnis“, die es den jeweiligen Akteuren ermöglichen, KI-Systeme sachkundig im Rahmen der ihnen auferlegten Pflichten einzusetzen. Die Akteure sollen ein Bewusstsein für die Chancen und Risiken von KI sowie mögliche Schäden, die sie verursachen kann, entwickeln (Art 3 Z 56).

An Hochrisiko-KI-Systeme werden umfangreiche Anforderungen gestellt, wobei Anbieter im Regelfall weitergehende Verpflichtungen als Betreiber haben. Die Anforderungen an Hochrisiko-KI-Systeme betreffen zB die Einrichtung eines Risikomanagementsystems (Art 9), das Erfüllen der Anforderungen an Daten und Daten-Governance (Art 10), die Erstellung einer technischen Dokumentation (Art 11), Aufzeichnungs- und Transparenzpflichten (Art 12 f), die Sicherstellung wirksamer menschlicher Aufsicht (Art 14) sowie die Sicherstellung von Genauigkeit, Robustheit und Cybersicherheit (Art 15).

Hochwertige Daten und der Zugang zu diesen sind zentral für die Entwicklung von leistungsfähigen, möglichst diskriminierungsfreien KI-Systemen. Ohne Daten ist der gewinnbringende Einsatz von KI-Systemen kaum denkbar. Aus diesem Grund sieht der AI Act umfassende Anforderungen an Daten und Daten-Governance vor. Diese gelten grundsätzlich für Hochrisiko-KI-Systeme, in denen Techniken eingesetzt werden, bei denen KI-Modelle mit Daten trainiert werden.

KI-Modelle sind „wesentliche Komponenten von KI-Systemen“. Sie stellen für sich genommen keine KI-Systeme dar, sind aber in der Regel ein Teil von diesen. Damit ein KI-Modell ein KI-System wird, müssen weitere Komponenten, wie zB eine Nutzerschnittstelle, hinzugefügt werden. Werden in Hochrisiko-KI-Systemen KI-Modelle eingesetzt, die mit Daten trainiert werden, müssen diese mit Trainings-, Validierungs- und Testdatensätzen (“Datensätze“) entwickelt werden, die gewissen Anforderungen entsprechen. Es gelten Daten-Governance- und Datenverwaltungsverfahren, die für die Zweckbestimmung des Hochrisiko-KI-Systems geeignet sind. Diese Verfahren beinhalten

  • Konzeptionelle Entscheidungen;
  • Datenerhebungsverfahren, die Datenherkunft und bei personenbezogenen Daten den ursprünglichen Zweck der Datenerhebung;
  • Datenverarbeitungsvorgänge, wie zB Annotation oder Bereinigung;
  • Eine Aufstellung von Annahmen, die mit den Daten erfasst oder dargestellt werden sollen;
  • eine Bewertung der Verfügbarkeit, Menge und Eignung der benötigten Datensätze;
  • eine Untersuchung in Bezug auf mögliche Verzerrungen (Bias), die die Gesundheit oder Sicherheit von Personen beeinträchtigen, sich negativ auf Grundrechte auswirken oder diskriminierend sein können;
  • geeignete Maßnahmen zur Erkennung, Verhinderung und Abschwächung von Bias sowie
  • die Ermittlung relevanter Datenlücken und Mängel sowie Mängelbehebungsmaßnahmen.

Die Datensätze müssen zweckrelevant, hinreichend repräsentativ und so weit wie möglich fehlerfrei und vollständig sein. Zusätzlich müssen sie geeignete statistische Merkmale aufweisen. Zu berücksichtigen sind typische besondere geografische, kontextuelle, verhaltensbezogene oder funktionale Rahmenbedingungen, unten denen das Hochrisiko-KI-System bestimmungsgemäß verwendet werden soll. Das betrifft zB die Berücksichtigung von Wetterbedingungen, unten denen ein Hochrisiko-KI-System eingesetzt werden soll.

Die Einhaltung der Daten-Governance kann Dritten, wie Compliance-Diensten, übertragen werden (ErwGr 67).

Datenschutz: Grundsätzlich gilt die DSGVO parallel zum AI Act – soweit personenbezogene Daten involviert sind, ist also auch die DSGVO einzuhalten. Der AI Act sieht Erleichterungen in Bezug auf den Datenschutz vor, da er die Verarbeitung besonderer Kategorien personenbezogener Daten (zB Gesundheitsdaten, Daten zur ethnischen Herkunft, Religion, politischen Meinung), unter bestimmten Voraussetzungen ermöglicht, wenn dies zur Erkennung und Korrektur von Verzerrungen bei Hochrisiko-KI-Systemen unbedingt erforderlich ist (Art 10 Abs 5).  Zu diesen Voraussetzungen zählen:

  • Die Erkennung oder Korrektur der Verzerrungen kann nicht durch die Verarbeitung anderer Daten (wie synthetischer Daten oder anonymisierter Daten) effektiv durchgeführt werden.
  • Es existieren technische Beschränkungen einer Weiterverwendung der besonderen Kategorien personenbezogener Daten sowie modernste Sicherheits- und Datenschutzmaßnahmen (wie Pseudonymisierung).
  • Maßnahmen stellen sicher, dass die personenbezogenen Daten gesichert, geschützt und Gegenstand angemessener Sicherheitsvorkehrungen sind (wie Verschlüsselungen).
  • Es erfolgt keine Übermittlung oder Übertragung der besonderen Kategorien personenbezogener Daten an Dritte und diese haben keinen Zugriff auf diese Daten.
  • Die besonderen Kategorien personenbezogener Daten werden gelöscht, sobald die Verzerrung korrigiert wurde oder das Ende der Speicherfrist der Daten eintritt (je nachdem, welcher Zeitpunkt früher eintritt).
  • Im Verarbeitungsverzeichnis werden die Gründe genannt, warum die Verarbeitung der besonderen Kategorien personenbezogener Daten unbedingt erforderlich war.

Zugleich muss der Schutz personenbezogener Daten während des gesamten Lebenszyklus des KI-Systems sichergestellt werden. Das betrifft insb. den Grundsatz der Datenminimierung, der besagt, dass nur die personenbezogenen Daten, die unbedingt zur Zweckerreichung erforderlich sind, gespeichert werden sollen, und die Prinzipien „Privacy by Design“ und „Privacy by Default“, also den Schutz der Daten durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (ErwGr 69). 8.Pflichten der Anbieter von Hochrisiko-KI-Systemen

Anbieter von Hochrisiko-KI-Systemen treffen umfangreiche Transparenz-, Kennzeichnungs-, Registrierungs-, Dokumentations-, Aufbewahrungs-, Barrierefreiheits-, Melde- und Kooperationspflichten. Zudem werden Anforderungen an Daten und ein Qualitätsmanagement gestellt und Anbieter haben in bestimmten Fällen Korrekturmaßnahmen durchzuführen und Bevollmächtigte zu benennen.

Betreiber von Hochrisiko-KI-Systemen müssen Transparenz gegenüber nachgelagerten Akteuren sicherstellen, KI-Systeme laut Betriebsanleitung verwenden, wirksame menschliche Aufsicht sicherstellen, KI-Systeme geeignet überwachen, schwerwiegende Vorfälle melden, automatisch erzeugte Protokolle aufbewahren, mit zuständigen Behörden zusammenarbeiten, die Entscheidungsfindung des KI-Systems im Einzelfall erläutern, Informations-, Registrier- und Genehmigungspflichten erfüllen und in bestimmten Fällen eine Datenschutz-Folgenabschätzung bzw. eine Grundrechte-Folgenabschätzung durchführen.

Anbieter von KI-Systemen, die für die direkte Interaktion mit Personen bestimmt sind, sowie Anbieter und Betreiber von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, treffen spezifische Transparenzpflichten (Art 50).

Werden sonstige KI-Systeme mit minimalem Risiko angeboten oder betrieben, ist eine entsprechende KI-Kompetenz sicherzustellen und freiwillige Verhaltenskodizes (Art 95) können eingehalten werden.

Der AI Act sieht Sonderbestimmungen für KI-Modelle mit allgemeinem Verwendungszweck (in der Vergangenheit auch als General Purpose AI bzw. GPAI, bezeichnet) vor.

Ein KI-Modell mit allgemeinem Verwendungszweck weist eine erhebliche allgemeine Verwendbarkeit auf, kann ein breites Spektrum unterschiedlicher Aufgaben kompetent erfüllen und in viele nachgelagerte Systeme oder Anwendungen integriert werden (Art 3 Z 63). Das umfasst insb. generative KI-Modelle, die Text, Bilder und andere Inhalte erzeugen können (ErwGr 105).

Anbieter von solchen KI-Modellen treffen spezifische Dokumentations-, Transparenz und Kooperationspflichten. Sie müssen zudem eine Strategie zur Einhaltung des EU-Urheberrechts erstellen (Art 53).

Handelt es sich um ein KI-Modell mit allgemeinem Verwendungszweck mit systemischem Risiko (Art 3 Z 65, Art 51 Abs 1 und 2), sind zudem Anforderungen an ein Risikomanagement, Meldepflichten gegenüber Behörden sowie Vorgaben zur Cybersicherheit zu erfüllen (Art 55). 

Praxisleitfäden sollen die Erfüllung dieser Pflichten erleichtern (Art 56); diese liegen aktuell noch nicht final vor.

Die Mitgliedstaaten müssen Sanktionen erlassen, die „wirksam, verhältnismäßig und abschreckend“ sind. Das können Verwarnungen, nicht-monetäre Maßnahmen und Geldbußen sein. Die Tatbestände und Strafrahmen legt der AI Act fest (Art 99, 101), wobei eine maximale Geldbuße von bis zu 35 Mio oder 7 Prozent des gesamten weltweiten Vorjahresumsatzes (je nachdem, welcher Wert höher ist), droht. Verhängt werden die Sanktionen – mit Ausnahmen im Bereich KI-Modelle sowie bei Verstößen durch Organe und Einrichtung der EU – von nationalen Behörden.

Mehr zum AI Act finden Sie hier: 

Lizenzen

Regelungen zum Zugang und zur Verwendung von öffentlichen Daten gibt es schon seit vielen Jahren (für Details hier der Link zum Beitrag). Diese Open Government Data (OGD) sollen möglichst frei und unkompliziert nachnutzbar sein. Daher verwenden Behörden in vielen Ländern spezielle Open-Data-Lizenzen oder bestehende Open-Content-Lizenzen, die eine Weiternutzung, Veränderung und Weiterverbreitung der Daten ermöglichen. Häufig kommen folgende Lizenztypen zum Einsatz:

  Public-Domain-ähnliche Lizenzen

  • Creative Commons Zero (CC0): Hiermit wird weitestgehend auf Urheberrechte verzichtet. Nutzer:innen können die Daten ohne Namensnennung, kostenfrei und ohne weitere Einschränkungen (kommerziell oder nicht-kommerziell) verwenden.
  • Open Data Commons Public Domain Dedication and License (PDDL): Ähnlich wie CC0, speziell auf Datenbanken bzw. Datensammlungen zugeschnitten.

  Namensnennungs-Lizenzen

  • Creative Commons Attribution (CC BY): Erlaubt die freie Verwendung, Veränderung und Weitergabe, verlangt jedoch die Nennung der Urheber (z. B. „Datenquelle: Behörde XYZ“).
  • Open Data Commons Attribution License (ODC-BY): Speziell für Datenbanken, funktioniert ähnlich wie CC BY (Namensnennungspflicht).

  Offene Datenbank-Lizenzen

  • Open Database License (ODbL): Eine häufig verwendete Lizenz, u. a. für OpenStreetMap. Sie erlaubt Weiterverbreitung und Bearbeitung, schreibt aber vor, dass abgeleitete Daten unter der gleichen Lizenz geteilt werden müssen (Share Alike).

  Länderspezifische Open-Government-Lizenzen

  • Deutschland:
    • Datenlizenz Deutschland – Zero (dl-de/zero): Entspricht inhaltlich weitgehend einer CC0-Lizenz für Daten, also keinerlei Nachnutzungs­einschränkungen.
    • Datenlizenz Deutschland – Namensnennung (dl-de/by): Ähnlich zu CC BY, setzt lediglich die Pflicht zur Namensnennung voraus.
  • Großbritannien:
    • Open Government Licence (OGL): Gestattet die Weiternutzung staatlicher Daten mit minimalen Anforderungen (Namensnennung, Quellenangabe).
  • USA:
    • Offizielle Dokumente der US-Bundesregierung gelten meist automatisch als Public Domain (Ausnahme: bestimmte Daten, die auf externe Rechteinhaber verweisen).

Creative-Commons-Lizenzen („CC-Lizenzen“) sind standardisierte, rechtlich geprüfte Lizenzverträge, die Urheberinnen und Urhebern eine einfache Möglichkeit bieten, ihre Werke mit klaren Nutzungsbedingungen öffentlich freizugeben. Das Ziel ist, die unkomplizierte Weiterverbreitung, Nutzung und ggf. Bearbeitung von Inhalten zu erleichtern – unter bestimmten Bedingungen, die von den Urheberinnen/Urhebern gewählt werden können.

Wichtig zu wissen:

  • CC-Lizenzen ersetzen nicht das Urheberrecht, sondern sie stützen sich darauf. Wer ein Werk unter einer CC-Lizenz veröffentlicht, räumt anderen bestimmte Nutzungsrechte ein, behält aber in der Regel sein Urheberrecht.
  • Nutzerinnen/Nutzer eines CC-lizensierten Werks müssen sich an die Bedingungen der jeweiligen Lizenz halten.

Die Creative-Commons-Lizenzen setzen sich aus einigen Kernkomponenten (sogenannten „License Elements“) zusammen:

3.1     BY (Attribution / Namensnennung):

  • Verpflichtung zur Namensnennung der Urheberin/des Urhebers bzw. Rechteinhabers sowie ggf. Angabe der Quelle und der Lizenz.
  • Beispiel: „Dieses Bild wurde von Max Mustermann erstellt und steht unter der Lizenz CC BY 4.0.“

3.2     NC (Non-Commercial / Nicht-kommerziell):

  • Nutzung ist nur für nicht-kommerzielle Zwecke erlaubt.
  • „Kommerziell“ bedeutet hierbei, dass man aus der Nutzung direkt oder indirekt einen finanziellen Gewinn oder kommerziellen Vorteil zieht. Zum Beispiel darf man das Werk nicht verkaufen, nicht hinter einer Paywall verstecken oder es für Werbezwecke einsetzen, ohne Rücksprache zu halten.

3.3     ND (No Derivatives / Keine Bearbeitung):

  • Es ist nicht erlaubt, das Werk zu bearbeiten oder in abgewandelter Form weiterzugeben. Man darf das Werk nur „in unveränderter Form“ kopieren und verbreiten (auch kommerziell oder nicht-kommerziell – je nach Lizenzkombination).

3.4     SA (Share Alike / Weitergabe unter gleichen Bedingungen):

  • Veränderungen (Bearbeitungen, Remixe etc.) sind erlaubt, sofern das neue Werk wiederum unter derselben Lizenz oder einer kompatiblen Lizenz weitergegeben wird.
  • Dies stellt sicher, dass jede Weiterentwicklung für andere genauso offen bleibt wie das Original.

Aus den oben genannten Bausteinen ergeben sich sechs Hauptlizenzen, die Creative Commons anbietet. Alle diese sechs Lizenzen beinhalten BY (Attribution/Namensnennung). Dazu kombinieren sie je nach Wunsch NC, ND und/oder SA.

Neben diesen sechs Hauptlizenzen gibt es noch CC0 (Creative Commons Zero), eine Empfehlung bzw. „Verzichtserklärung“ auf sämtliche urheberrechtlichen Ansprüche, soweit dies rechtlich möglich ist.

  • Damit stellt man sein Werk (nahezu) vollständig in die Public Domain.
  • Es gibt keine Verpflichtung zur Namensnennung oder sonstigen Beschränkungen.
  • Häufig wird CC0 bei öffentlichen Daten oder wissenschaftlichen Datensätzen angewendet, um deren Nutzung möglichst barrierefrei zu gestalten.

6.1     Lizenzauswahl:

  • Möchtest du, dass dein Werk kommerziell genutzt werden darf?
  • Hast du ein Problem damit, wenn jemand dein Werk verändert (z.B. Collagen, Übersetzungen, Remixe)?
  • Möchtest du, dass abgeleitete Werke wieder frei lizenziert werden müssen?
  • Je nachdem, wie du diese Fragen beantwortest, wählst du die Bausteine NC, ND, SA hinzu oder lässt sie weg.

6.2     Namensnennung:

  • Unter allen CC-Lizenzen (außer CC0) ist die Nennung des Urhebers/der Urheberin Pflicht.
  • Üblicherweise reicht die Nennung mit Name und ggf. Link zur Originalquelle plus Hinweis auf die Lizenz, z.B. „Lizenz: CC BY 4.0“.

6.3     Versionen:

  • Creative Commons gibt es in unterschiedlichen Versionen (z.B. 4.0, 3.0 etc.). Die aktuellste Version (4.0) hat verschiedene Verbesserungen in Bezug auf internationale Rechtsdurchsetzung und Klarstellungen.
  • Es ist meist ratsam, die aktuellste Version (4.0) zu verwenden.

6.4     Kein Rechtsverzicht (außer CC0):

  • Eine CC-Lizenz bedeutet nicht, dass man als Urheberin/Urheber alle Rechte abgibt. Man räumt lediglich die Rechte ein, die in der Lizenz vereinbart sind.
  • Bei Verstößen gegen die Lizenz (z.B. Missachtung von NC, ND oder fehlende Namensnennung) können Urheberrechte eingefordert bzw. rechtliche Schritte eingeleitet werden.

6.5     Kompatibilität:

  • Werke unter bestimmten Lizenzen (z.B. BY-SA) lassen sich nur eingeschränkt mit Werken unter anderen Lizenzen remixen, wenn die Lizenzbestimmungen nicht kompatibel sind.
  • Gerade die NC- und ND-Komponenten schränken mögliche Remixe oder gemeinsame Veröffentlichungen (z.B. in Sammelwerken) ein.
Nach oben scrollen

Melden Sie sich zum Newsletter an