Um die Nutzung von Daten zu verbessern, hat die EU-Kommission bereits im Februar 2020 eine ambitionierte „Europäische Datenstrategie“ veröffentlicht. Dabei geht es nicht nur um den Aufbau vertrauenswürdiger Infrastrukturen (Stichwort „Gaia-X“), sondern auch um Investitionen in die Weiterbildung in Bezug auf den Umgang mit Daten.
Darüber hinaus sollen die rechtlichen Rahmenbedingungen angepasst werden. Dazu wurde der „EU-Data-Act“ am 23. Februar 2022 als erster offizieller Vorschlag vorgelegt. Die Grundidee dieses künftigen Datengesetzes ist es, dass die Digitale Transformation am Interesse aller Europäer ausgerichtet sein sollte. Allen soll es ermöglicht werden, am digitalen Wandel teilzuhaben. Erklärtes Ziel ist es, die Nutzung und den Zugang zu Daten zu erleichtern und mehr Fairness zwischen den Akteuren sicherzustellen – durch einen neuen rechtlichen Rahmen für die gesamte Datenökonomie in der EU. Dazu sollen zehn gemeinsame europäische Datenräume geschaffen werden, von der Industrie bis zur Mobilität, vom „Grünen Deal“ bis zu Energie und Gesundheit. Das hat Auswirkungen auf die gesamte Industrie.
Faire Datennutzung in Europa
Die Verbände in Deutschland begrüßen die Vorschläge als Schritt in die richtige Richtung, die Datennutzung im EU-Binnenmarkt aktiv zu fördern, sehen aber noch Verbesserungsbedarf. „Leider wählt die EU einen sehr bereiten ‚One-size-fits-all-Ansatz‘, der sehr weitgehend in die Privatautonomie von Unternehmen eingreift, ohne die Marktrealitäten in der gesamten Industrielandschaft hinreichend abzubilden“, ist etwa seitens des Bundesverbands der Deutschen Industrie (BDI) zu vernehmen. „Der Data-Act verpasst dagegen die Chance, die bestehenden Rechtsunsicherheiten für Unternehmen auszuräumen und den Data-Act mit anderen Legislativvorhaben, insbesondere der Datenschutz-Grundverordnung (DSGVO) zu harmonisieren.“ Es müsse daher sichergestellt werden, „dass mit der Einführung sehr weitgehender Datenzugangs- und Datenteilungspflichten für Unternehmen keine Einschränkung der Innovations– und Investitionsbereitschaft im digitalen Binnenmarkt einhergeht und die Praktikabilität sichergestellt wird. Hierfür muss der Anwendungsbereich präzisiert und insbesondere der Schutz von Geschäftsgeheimnissen gewährleistet werden.“
„Das kommende Datengesetz […] sollte unbedingt die unternehmerische Freiheit respektieren und keine neuen Regeln einführen, die gewachsene Strukturen oder aufkeimende Geschäftsmodelle einschränken und für die Maschinenbauindustrie gegebenenfalls sogar hinderlich sind“, sagt Hartmut Rauen, stellvertretender VDMA-Geschäftsführer. Der erste Entwurf enthalte „Regelungen, die deutlich zu weit gehen, wie überschießende Daten-Zugangsrechte. Im Maschinenbau hat es sich gezeigt, dass die Maschinenhersteller und ihre Kunden in den allermeisten Fällen ein für beide Seiten faires und kommerziell sinnvolles Verhandlungsergebnis finden. Gesetzlich zwingende direkte Zugangs- und rechte Nutzungsrechte, aber auch extensive Informationspflichten in Bezug auf Daten sind dann auch nicht notwendig.“
Skeptisch sieht der Verband Bitkom die geplanten neuen Kompetenzen der EU-Kommission zur Vorgabe von Standards für Cloud-Dienste und Datenräume. „Bei diesen jungen Märkten besteht die reale Gefahr, dass Wettbewerb und damit auch Innovation in Europa ,wegstandardisiert‘ werden“, heißt es. „Überregulierung droht zudem bei internationalen Datentransfers – hier gibt es schon laufende Initiativen wie die aktuellen Verhandlungen zwischen der EU und den USA, um Lösungen für potenzielle Rechts- und Interessenkonflikte zu finden.“
Ein konkretes Problem scheint sich aber der Lösung zu nähern: Die lange gesuchte Nachfolgeregelung für das „Privacy Shield“ zur sicheren Datenübermittlung in die USA, das der EuGH 2020 gekippt hatte. Es liege bereits ein neues Datenschutzabkommen auf dem Tisch, wie US-Präsident Joe Biden bei seinem Besuch in Brüssel am 25. März gemeinsam mit EU-Kommissionschefin Ursula von der Leyen erklärte.
In Deutschland gehört laut Bitkom das geplante nationale Datengesetz sowie weitere sektorale datenpolitische Vorhaben aus dem Koalitionsvertrag unbedingt auf den Prüfstand: Sind sie überhaupt noch erforderlich – oder stehen sie womöglich sogar in Widerspruch zum Data-Act? Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), freut sich über das mit dem Data-Act verbundene „klare Bekenntnis der EU zur durchgehenden Anwendbarkeit der DSGVO. Der Data-Act und die Datenwirtschaft stehen und fallen mit der Vertrauenswürdigkeit beim Umgang mit persönlichen Daten der Bürger.“ Und Kelber begrüßt es, „dass Verbraucher ein stärkeres Zugriffsrecht auf ihre Daten erhalten sollen und die allgemeine Datenportabilität erhöht werden soll“. Verbesserungsbedarf sieht der Datenschützer z.B., weil der Entwurf des Data-Act bei den Regeln zum staatlichen Zugriff auf private Daten „leider sehr vage“ bleibt. „Das darf nicht zu einer unbestimmten Generalklausel für staatliche Einrichtungen, wie beispielsweise die Sicherheitsbehörden, werden.“
Nutzung des großen industriellen Datenschatzes
„Auch IBM begrüßt den Vorschlag“, erklärte Emilie Petras, Senior Legal and Policy Manager bei dem IT-Konzern, und unterstütze „diesen wichtigen Schritt zur Nutzung des großen industriellen Datenschatzes in Europa“. Allerdings sollte bei der Umstellung auf die Cloud der Schwerpunkt darauf liegen, Lock-In-Situationen im Cloud-Umfeld zu vermeiden und auf „dem Zugang der Kunden zu den Tools, die es ihnen ermöglichen, ihre Daten zu portieren“. Außerdem sollte der Data-Act darauf abzielen, „Rechtskonflikte zu beseitigen und nicht zu schaffen“. Bedenken hinsichtlich des Zugangs ausländischer Regierungen zu Daten „sollten durch multilaterale Regierungsverhandlungen zur Festlegung gemeinsamer Erwartungen adressiert und nicht durch die Auferlegung regulatorischer Anforderungen für einen bestimmten Sektor ausgeräumt“ werden. Bei IBM sei man der Meinung, dass die Politik die unterschiedlichen Risiken und Dimensionen zwischen personenbezogenen und nicht-personenbezogenen Daten sorgfältig abwägen sollte, wenn es um die rechtmäßige Weitergabe an Strafverfolgungsbehörden in Drittländern geht.
Aus juristischer Perspektive begrüßt Pascal Schumacher, Rechtsanwalt bei der Wirtschaftskanzlei Noerr, „dass sich der europäische Gesetzgeber der wirtschaftlich wichtigen Frage annimmt“. Bislang haben Wirtschaftsakteure dies vor allem vertraglich geregelt. Der Entwurf räume nun aber auf der einen Seite Nutzern weitreichende Datenzugangs- und -nutzungsrechte ein, lasse auf der anderen Seite aber noch zahlreiche Fragen für die Dateninhaber offen – insbesondere wenn mehrere Parteien involviert sind. „Häufig lässt sich hier noch nicht abschließend erkennen, wer die Daten generiert – z.B. beim vernetzten Auto, wenn Eigentümer, Halter und Fahrer auseinanderfallen.“ Solche Abgrenzungsschwierigkeiten ergeben sich auch, wenn Datenzugangsrechte Geschäftsgeheimnisse betreffen. Solche Daten müssen nur dann herausgegeben werden, wenn der Nutzer alle erforderlichen Maßnahmen ergreift, um Vertraulichkeit zu wahren. Derzeit ist noch unklar, wie diese Maßnahmen sollten und wie sich der Nachweis über Geschäftsgeheimnisse erbringen lässt.
Bemerkenswert ist laut Schumacher auch, dass durch neue Interoperabilitätsvorgaben und das Verbot „unfairer Vertragsklauseln“ die Marktmacht großer Cloud-Anbieter eingeschränkt werden soll. „Dies erfasst sämtliche Vertragsklauseln in Datennutzungs- oder -lizenzverträgen und soll insbesondere den Einsatz von sogenannten Take-it-or-leave-it-Angeboten entgegenwirken“, erläutert Schumacher. Allerdings „enthalten zentrale Bestimmungen des Entwurfs noch vermehrt unbestimmte Rechtsbegriffe, was zu erheblichen Rechtsunsicherheiten führen und die Gerichte und die zuständigen Aufsichtsbehörden lange beschäftigen könnte“. Wenig nachvollziehbar sei, warum sich der Entwurf auf vernetzte Produkte und damit verbundene Dienste („IoT-Produkte“) beschränke und beispielsweise Daten, die von Apps generiert werden, außen vor lasse. „Darüber hinaus sieht der Entwurf noch keine datenschutzrechtlichen Neuregelungen vor, obwohl doch gerade das Datenschutzrecht häufig einen reibungslosen Datenaustausch verhindert.“
Ein abstrakt formulierter Gesetzesvorschlag
Dr. Thilo Weichert, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz, begrüßt den Grundansatz des Data Act „uneingeschränkt“. Er könne „die rechtliche Grundlage dafür schaffen, dass viele gesellschaftlich relevante Informationen von der Gesellschaft auch genutzt werden können. Zugleich ist vorgesehen, dass der Datenschutz für die einzelnen Betroffenen gewahrt, ja sogar verbessert wird.“ Das Schöne daran: Digital generierte Daten aus den verschiedensten Lebenssituationen, die durch den Einsatz von Produkten entstehen, werden der Allgemeinheit nutzbar gemacht – etwa die Kfz-Daten, die bei den Herstellern gesammelt werden. „Bisher behandeln die Unternehmen solche Daten als ihr Privateigentum, obwohl sie schon heute datenschutzrechtlich auch den Nutzenden als Betroffenen zustehen.
Das Problem sieht Datenschutz-Experte Weichert darin, dass der Vorschlag „sehr abstrakt“ formuliert ist. „Das ist einerseits gut, weil dadurch zunächst allgemeine Grundsätze fixiert werden. Die Umsetzung in konkreten Anwendungsfälle setzt aber dann noch jeweils einen gewaltigen zusätzlichen Aufwand voraus, bei dem es der Kooperation der Datenhalter, also in den meisten Fällen der Industrie, ankommt.“ Aufgrund seiner Erfahrungen bezweifelt Weichert, dass es zu einer harmonischen Umsetzung kommen wird. Dabei gehe es um die Bereitstellung von Schnittstellen, um die Aggregierung von Daten, um die Definition der sekundären Nutzungszwecke und letztlich auch um Geldforderungen, womit die Datenhalter versuchen werden, sich abzuschotten.
Auch für Thomas Spaeing, Vorstandsvorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) ist „völlig klar, dass wir eine bessere Nutzung von Daten für mehr Innovation und eine starke europäische Digitalwirtschaft benötigen. Diese Zielsetzung unterstützen wir daher voll und ganz. Man sollte allerdings versuchen zu vermeiden, dass neben BDSG, DSGVO und den anderen, derzeit laufenden europäischen Initiativen eine nächste, unübersichtliche Gesetzgebung geschaffen wird, die unsere Wirtschaft bürokratisch überfordert. Dabei denke ich insbesondere an den Mittelstand.“ Einen „deutlichen Verbesserungsbedarf“ sieht Spaeing in vielen Details, z.B. eine Begriffsbestimmung von „biometrischen Daten“ im Vorschlag, die ähnlich bereits in der DSGVO zu finden ist. „So etwas verursacht bloß Diskussionsbedarf und Interpretationsunterschiede“, befürchtet Spaeing. „Darüber hinaus regelt der Vorschlag großzügig die Verarbeitung von besonderen Kategorien und enthält eine freizügige Erlaubnis zur Weiterverarbeitung von Daten zu anderen KI-Zwecken. Hier ist genaues Hinsehen notwendig, damit der Schutzbedarf betroffener Personen nicht komplett aus dem Blick gerät. Es wären hier also u.a. konkretere Vorgaben insbesondere bzgl. Schutz der Daten vor Missbrauch wünschenswert.“
Momentan noch in der Schwebe
Die große Frage ist: Was müssen die CIOs jetzt tun, um sich auf die endgültigen Regelungen so vorzubereiten, dass sie diese nach Inkrafttreten möglichst rasch und konsequent umsetzen können? „Nicht viel“, sagt der Datenschutzbeauftragte Ulrich Kelber: „Unternehmen und Behörden sollten ohnehin mittlerweile datenschutzkonform arbeiten. Wer jetzt zusätzlich schon überlegt und plant, wie Bürger einen einfachen und nützlichen Zugang zu den von ihnen generierten Daten erhalten, stellt sich damit schon auf die Zukunft ein.“
Akuten Handlungsbedarf von CIOs in Konzernen und Behörden sieht auch Thomas Spaeing derzeit noch nicht, dafür sei es noch zu früh. Der von der Kommission veröffentlichte Vorschlag werde „sowohl im Parlament als auch im Rat sehr rege diskutiert“, so dass deutliche Veränderungen am Entwurf zu erwarten sind. Frankreich kündigte an, zum Ende der Ratspräsidentschaft, also Ende Juni, eine Ratspapier zu präsentieren.
Bei Vertretern der IT-Industrie und bestimmten öffentlichen Stellen vernimmt Noerr-Anwalt Pascal Schumacher so manchen „leisen Widerstand“. Während die einen vermehrt auf Anreize statt auf gesetzliche Verpflichtungen zum Datenaustausch setzen wollen, geht anderen der vorgesehene Austausch nicht weit genug. „Es wird moniert, dass die Zugangsmöglichkeiten für öffentliche Stellen zu Daten von Unternehmen hinter Erwartungen zurückblieben“, weiß Schumacher. „Zugriffsmöglichkeiten zum Wohl der Allgemeinheit seien nur in Ausnahmefällen gestattet. Vertreter der Industrie kritisieren hingegen insbesondere Innovationshemmnisse, die mit den neuen Verpflichtungen einhergehen.“
Dies ist ein Artikel aus unserer Print-Ausgabe 4/2022. Bestellen Sie ein kostenfreies Probe-Abo.
„Eines ist aber klar“, wie Thilo Weichert betont: „Die Datenhalter sind auch ohne den Data Act nicht daran gehindert, die bei ihnen vorhandenen Daten ihren Nutzern, Kunden, den Bürgern und der Allgemeinheit aufbereitet schon zur Verfügung zu stellen. Dadurch demonstrieren sie ihre Digitalkompetenz wie auch ihre Gemeinwohlorientierung. Durch solche Musterprozesse kann zugleich Anschauungsmaterial für Anwendungsfälle gesammelt werden, anhand derer der Gesetzesvorschlag, der noch lange nicht beschlossen ist, verbessert und verfeinert werden kann.“
Bildquelle: Getty Images / iStock / Getty Images Plus
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.