Das beste getestete KI-Modell hielt sich nur in 54 Prozent der Fälle an EU-Recht. Das schlechteste schaffte gerade einmal 7 Prozent. Kein einziges der zwölf untersuchten Frontier-Modelle erreichte ein vertretbares Compliance-Niveau.
1 „Gefällt mir“
Deckt sich irgendwie mit diesem:
Analyse zum Souveränitätspaket der EU: Krisenfest per Gesetz? | heise online
https://heise.de/-11318875
Das ist der Haken dabei
Das Gesetz verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Umgekehrt können über diesen Weg auch ausländische Firmen Zugriff auf Daten erhalten, die von US-Konzernen im Ausland gespeichert werden. Infolge des Gesetzes sollen bilaterale Abkommen ausgearbeitet werden, die es ausländischen Behörden ermöglichen, ihre Anfragen direkt an die Konzerne zu stellen. Hiermit würde eine gerichtliche Kontrolle bei einer Abfrage außen vor bleiben, was zu Kritik durch Datenschützer geführt hat.
Das muss ich mir noch genauer ansehen
Die BSA vertritt die großen US-amerikanischen Softwarekonzerne. Mitglieder sind unter anderem Microsoft, Adobe, IBM, Oracle, SAP, Salesforce und Workday. Ursprünglich (gegründet 1988) war BSA vor allem als Anti-Piraterie-Organisation bekannt, die gegen unlizenzierte Softwarenutzung vorging. Heute liegt der Schwerpunkt klar auf Lobbying und Public Affairs.
1 „Gefällt mir“
Was leider nicht auf der Webseite steht ist, ob in den Prompts angewiesen wurde sich ans bestehende Recht zu halten. Hast du dazu wo was gelesen?
Interessant wäre ein Vergleich mit menschlichen Mitarbeitenden. Ich könnte mir vorstellen, dass hier kaum Unterschiede sind. Die wenigsten Menschen wissen, wo genau die rechtlichen Schranken liegen und würden zB Arbeitsplatzüberwachung für andere(!) ebenfalls widerspruchslos abnicken.
Ob eine KI wohl bei einem Milgram-Experiment widerspruchslos mitmachen würde? 
Du musst der KI schon einen Kontext und Rahmenbedingungen mit geben. Je wenige du davon bei deinem Arbeitsauftrag der KI mitteilst, desto mehr Aufwand wirst du hinterher haben, deinen Arbeitsauftrag durch Nach-Prompten nachzuschärfen. Du kannst nicht davon ausgehen, dass die KI das erraten kann.
Da ist so, als würdest du jemanden, der noch nie am Straßenverkehr teilgenommen hat auffordern, mal nach Wien reinzufahren. Woher soll der denn wissen, dass er die StVO einhalten soll?
Die LLMs haben schon alles an notwendigem Wissen mitbekommen, es fehlt ihnen nur mehr die Persönlichkeit, die bekommen sie mit dem Systemprompt. „Achte besonders auf rechtliche Rahmenbedingungen“ wäre eine wichtige Grundvoraussetzung für rechtssensibles Handeln. Wäre interessant, des Test mit so einer Einstellung zu wiederholen.
Das mit der StVO ist kein guter Vergleich. Die LLMs kennen ja die Straßenverkehrsordnung.
Wenn man die StVO als Analogie heranziehen will, dann reden wir über Botschaftsangehörige, die von den Konsequenzen eines StVO-Verstoßes nicht betroffen sind und daher mit 200km/h auf der A4 herumrasen…
Man kann diese Informationen zur Wiederverwendung in .md-files Speicher und in der Ki in einem Ordner ablegen.
- about_me.md
- my_style_private.md
- my_style_offcial.md
- skills.md
- my_organization.md
- context.md
- constrains_legal.md
- constrains_code.md
Im Prompt weist man darauf hin, welche dieser Files verwendet werden sollen. Dann muss man die Infos nur einmal zusammentragen und kann sie wiederverwenden (Vorlagen).
BTW: man kann diese .md-Files auch mit Reverse-Prompting aus bestehen Chats extrahieren, um die Infos weiterzuverwenden.
1 „Gefällt mir“
Kurzfazit: Der BSA-Artikel ist keine neutrale Rechtsanalyse, sondern eine industriepolitische Verteidigung des CLOUD Act durch einen Verband großer Software- und Cloud-Anbieter. Einige Aussagen sind eng verstanden richtig, aber die Darstellung blendet zentrale EU-rechtliche Konflikte, Metadatenzugriffe, fehlende EU-US-Sondervereinbarung und praktische Rechtsschutzprobleme aus.
Einordnung
Der Artikel stammt aus Februar 2019. Er behauptet im Kern: Der CLOUD Act erlaube keine Massenüberwachung, verlange bei Inhalten einen gerichtlichen US-Warrant, biete Anfechtungsrechte, sei reziprok angelegt und untergrabe weder EU-Privatsphaere noch Privacy Shield. BSA nennt als Mitglieder u.a. Apple, IBM, Microsoft, Oracle, Salesforce, Slack und Workday; das ist relevant für den Bias der Quelle. (bsa.org)
Prüfung Der Kernbehauptungen
| BSA-Behauptung | Bewertung |
|---|---|
| „Keine Bulk Surveillance, nur strafrechtliche Einzelfälle“ | Eng für CLOUD-Act-Strafverfolgung weitgehend richtig. Auch EDPB/EDPS sagen: keine systematische, großskalige oder unterschiedslose Sammlung, sondern gezielte Strafverfolgungsanfragen. Aber: Das sagt nichts über US-Nachrichtendienstzugriffe wie FISA 702, und der CLOUD Act erweitert den extraterritorialen Zugriff auf gespeicherte Kommunikationsdaten. (edpb.europa.eu) |
| „Zugriff nur per gerichtlichem Warrant mit probable cause“ | Für Inhaltsdaten durch US-Behörden oft richtig, aber zu pauschal. EDPB/EDPS weisen darauf hin, dass der Act auf Chapter 121 insgesamt wirkt und damit auch Nicht-Inhaltsdaten/Metadaten erfassen kann; solche Daten können über Wege wie Subpoenas oder formelle Ersuchen laufen, nicht zwingend mit Richter und probable-cause-Test. (edpb.europa.eu) |
| „Starke Privacy-Schutzmechanismen und Anfechtungsrechte“ | Teilweise richtig, aber praktisch begrenzt. Provider können anfechten, aber der spezielle CLOUD-Act-Mechanismus ist an Bedingungen geknüpft, u.a. nicht-US-Person und ein betroffener „qualifying government“-Staat mit Executive Agreement. EDPB/EDPS halten unklar, wie effektiv Common-Law-Comity ohne solches Abkommen ist. (edpb.europa.eu) |
| „Vereinbar mit Privacy Shield“ | Historisch überholt. BSA berief sich auf die Kommissionsprüfung 2018. Der EuGH erklärte den EU-US Privacy Shield am 16. Juli 2020 in Schrems II für ungültig. Das war nicht nur wegen CLOUD Act, aber die BSA-Absicherung über Privacy Shield trägt heute nicht mehr. (curia.europa.eu) |
| „Nicht einseitig, bilateral/reziprok“ | Formal richtig: Der CLOUD Act ermöglicht bilaterale Executive Agreements. Praktisch für die EU aber schwach: DOJ listet UK und Australien als Abkommen, Kanada und EU nur als Verhandlungs-/Ressourcenthemen; ein EU-US-CLOUD-Act-Abkommen ist dort nicht als abgeschlossen gelistet. ( justice.gov) |
| „Transparente, robuste, öffentlich verantwortliche Justizverfahren“ | Überzeichnet. Bei US-Warrants gibt es gerichtliche Kontrolle; bei Executive Agreements können ausländische Behörden direkt Provider adressieren. DOJ beschreibt diese Abkommen gerade als Mechanismus, der rechtliche Sperren entfernt, damit Provider auf qualifizierte ausländische Anordnungen reagieren können. (justice.gov) |
Wichtigste Gegenstimmen
EDPB/EDPS: Der zentrale EU-Einwand ist nicht „der CLOUD Act ist immer Massenüberwachung“, sondern: Ein US-Beschluss macht eine Datenübermittlung nach DSGVO nicht automatisch rechtmäßig. Art. 48 DSGVO verlangt grundsätzlich ein internationales Abkommen wie MLAT; ohne solches Abkommen könne die Rechtmäßigkeit nicht sicher festgestellt werden, außer in eng verstandenen Ausnahmefällen wie vitalen Interessen. (edpb.europa.eu)
EDPB/EDPS warnen außerdem vor Konflikten zwischen US-Recht und DSGVO, vor fehlendem effektivem Rechtsschutz, vor dem Verlust des Dual-Criminality-Prinzips und davor, solche Abwägungen privaten Providern zu überlassen. (edpb.europa.eu)
ACLU: Kritisiert, dass der CLOUD Act ausländischen Regierungen unter Executive Agreements Zugriff auf E-Mails und andere elektronische Informationen ohne zusätzliche Prüfung durch US-Richter oder US-Behörden ermöglichen könne; außerdem seien Menschenrechtsstandards zu vage und die Exekutive erhalte zu viel Macht. (
aclu.org)
EFF: Kritisiert den Gesetzgebungsprozess und sieht neue Wege für US- und ausländische Polizeibehörden, grenzüberschreitend Daten zu erhalten; besonders problematisch seien fehlende Nutzerbenachrichtigung, Metadaten und Umgehung klassischer Mutual-Legal-Assistance-Verfahren. (
eff.org)
Schluss-Fazit = was Werner immer sagt
Der BSA-Text ist als Gegenposition zu überzogenen „CLOUD Act = beliebige US-Massenüberwachung“-Behauptungen nützlich. Aber als Gesamtbewertung ist er zu beruhigend. Die stärkste Kritik lautet nicht, dass jede US-Anfrage illegal oder massenhaft wäre, sondern dass der CLOUD Act einen echten Jurisdiktions- und Rechtsschutzkonflikt erzeugt: US-Anbieter können US-Zwang unterliegen, während EU-Recht direkte Drittstaatenoffenlegungen nur unter engen Voraussetzungen erlaubt. Für Compliance, Beschaffung und Risikobewertung sollte man deshalb eher EDPB/EDPS und aktuelle EuGH-/EU-Rechtslage als die BSA-Darstellung zugrunde legen.
2 „Gefällt mir“
Roland, danke für diese Zusammenfassung, mir ist dieser Artikel bei Suche in die Hände gefallen, hatte aber keine Zeit dies genau zu analysieren.
Aber was hielte z.B. T. davor ab eine gezielte Recherche in Europäischen Daten Beständen in Auftrag zu geben? Und bekommt der Überwachte das überhaupt mit?
Wo wäre da der Gerichtsstand? Falls man in Europa Recht bekommt, kann man das in USA auch durchsetzten? Kann sich eine Privatperson, eine kleine Europäische Firma oder NGO den Rechtsweg überhaupt leisten?
Ja, genau das sind die Probleme. Wenn der Geheimdienst in den USA zu einem dortigen Konzern sagt: „Gib mir die Daten über diese Person aus deiner Niederlassung in Europa, aber das darfst du niemandem sagen“, dann ist das - bei entsprechender durch den Geheimdienst festzusetzender Geheimhaltungsstufe - kein öffentliche Verfahren. Davon erfährt die Person nichts und kann daher kein Rechtsmittel einlegen, auch nicht in den USA.
Und wenn die Firma sich weigert, dann kommt Trump und sagt, gut, dann sperren wir dir dein Unternehmen in den USA zu. Unter einer demokratischen Regierung war das unvorstellbar, aber jetzt?
2 „Gefällt mir“