aus dem Netzwerk Insider Februar 2025
Daten sind ein wertvolles Gut, das ist kein Geheimnis mehr. Und wie so häufig gilt auch hier: Die einen haben sie, die anderen wollen sie. Einer Datenweitergabe oder einem Teilen von Daten stehen oft Unklarheiten und Ängste bei den Dateninhabern im Weg. Sobald personenbezogene Daten im Spiel sind, droht die DSGVO. Doch wer darf über Daten verfügen, die keinen Personenbezug besitzen, vielleicht sogar von einer Maschine generiert wurden? Hier möchte die EU mit ihrer Datenstrategie für mehr Klarheit sorgen und so das Datenteilen fördern.
Daten als neuer Rohstoff
Daten sind in heutigen Arbeits- und Geschäftsprozessen ein nicht mehr wegzudenkender Faktor. Sie werden, egal ob personenbezogen oder nicht personenbezogen, überall erzeugt. Mal geschieht dies bewusst, wie bei der Benutzung einer Bonuspunktekarte an der Supermarktkasse, mal eher unbemerkt, beispielsweise durch IoT-Geräte, bei denen dem Nutzenden oftmals gar nicht bekannt ist, welche Flut an Daten durch das Gerät erhoben wird. Hinzu kommen IoT-Geräte in der Produktion, in Land- und Forstwirtschaft und etlichen anderen Bereichen. Was Daten erheben kann, tut dies in der Regel auch.
Bereits 2006 bezeichnete der britische Mathematiker Clive Humby Daten als „das neue Öl“ [1]. Dieses Gleichnis ist in den folgenden zwei Punkten zutreffend: Ähnlich wie Erdöl ein (noch) unverzichtbarer Rohstoff für viele Industriezweige ist, bilden Daten einen essentiellen Rohstoff für innovative Ideen und Wertschöpfung. Ebenso müssen Daten erst eine Auswertung durchlaufen, um einen Mehrwert zu besitzen – ähnlich wie Rohöl, das erst durch Raffinierung zu höherwertigen Produkten wird.
Ein grundsätzlicher Unterschied zwischen Öl und Daten liegt jedoch in der Frage nach dem Eigentümer. Stoßen Sie bei Bohrarbeiten in Ihrem eigenen Garten auf Öl, gehört es leider nicht Ihnen. Für Öl als bergfreier Bodenschatz ist der Besitz im Bundesbergbaugesetz (BbergG) geregelt. Für Daten, die im übertragenen Sinne während des Bohrens von Ihren Bohrgeräten erhoben werden, gibt es hingegen keine gesetzliche Regelung. Denn ein Eigentum an Daten kennt das Bürgerliche Gesetzbuch (BGB) nicht. Dies gilt auch für personenbezogene Daten. Trotzdem sind Daten kein absolutes ‚Freiwild‘, sondern sie bzw. die in ihnen enthaltenen Informationen werden durch verschiedene Gesetze und Verordnungen auf nationaler und europäischer Ebene geschützt. Dies können je nach Ausprägung der Daten beispielsweise die Datenschutzgrundverordnung (DGSVO), das Urheberrecht (UrhG) oder auch das Geschäftsgeheimnisgesetz (GeschGehG) sein.
Maschinengenerierte Daten – wer darf hier was?
Fokussieren wir uns auf maschinengenerierte Daten, helfen die vorgenannten Gesetze nur bedingt weiter. Denn maschinengenerierte Daten haben nicht unbedingt einen Personenbezug und fallen somit nicht in den Geltungsbereich der DSGVO. Ebenso trifft das Urheberrecht nicht auf maschinengenerierte Daten zu, denn „Werke im Sinne dieses Gesetzes sind nur persönliche geistige Schöpfungen“ (§ 2 Abs. 2 UrhG). Dies gilt beispielsweise nicht für Messdaten einer Maschine. Ob solche Messdaten unter das Geschäftsgeheimnisgesetz fallen, ist nicht pauschal zu beantworten. Wer nun also die von einer Maschine erhobenen Daten weitergeben darf, ein exklusives Recht auf Nutzung hat oder diese Daten sogar veräußern darf, ist nicht eindeutig geregelt. Kompliziert wird es insbesondere, wenn der Eigentümer der Maschine, die Daten generiert, und der Eigentümer der Objekte, über die diese Daten Auskunft geben, nicht derselbe sind. Beinhalten die Daten dann auch noch einen Personenbezug, führt diese unklare Lage zu großer Verunsicherung. Das häufige Resultat: Die Daten werden aus Sorge, gegen gesetzliche Vorgaben zu verstoßen, vor Wettbewerbsnachteilen oder vor Verlust der eigenen Souveränität über die Daten gar nicht erst an andere weitergegeben. Andersherum haben potentielle Dateninteressenten kaum eine Möglichkeit, ihr Interesse an bestimmten Daten zu kommunizieren.
Datentreuhänder als neutraler Dritter
Wie also kommen Dateninhaber und Dateninteressenten zusammen? Wie kann ein Dateninhaber seine Daten weitergeben, ohne die Souveränität über sie zu verlieren oder gegen gesetzliche Vorgaben zu verstoßen? Wie können Dateninteressenten sich über mögliche Datenangebote informieren?
Eine Antwort auf alle diese Fragen kann in der Nutzung von Datentreuhändern als neutralen Dritten zwischen Dateninhabern und Dateninteressenten liegen. Ein Datentreuhänder kann diverse Aufgaben übernehmen: Er kann bei der sicheren Identifizierung der beteiligten Parteien unterstützen, die Organisation von Zugangsberechtigungen zu Daten übernehmen und eine erste Verarbeitung von Daten wie Pseudonymisierung, Filterung oder Aggregation durchführen. Durch entsprechende Nutzungs- und Datenaustauschbedingungen kann ein Datentreuhänder das Teilen von Daten ermöglichen und dem Dateninhaber eine eigentumsähnliche Hoheit über seine Daten gewähren. Gleichzeitig kann er auch als Vermittlungsdienst auftreten, über den Dateninteressenten Datengesuche formulieren können.
Datenstrategie der EU – Data Governance Act und Data Act
Das Potenzial für den Ausbau des Datenteilens in den verschiedensten Bereichen von Wirtschaft und Forschung, welches Datentreuhänder bzw. Datenvermittlungsdienste bieten, hat auch die EU erkannt. Im Rahmen der 2020 verabschiedeten EU-Datenstrategie [2], mit der der Grundstein für einen europäischen Binnenmarkt für Daten gelegt wird, wurde der erste Entwurf zum Data Governance Act (DGA) [3] vorgestellt. Dieser Rechtsakt soll die Basis für einen harmonisierten Datenaustausch und ein europäisches Datenaustauschmodell schaffen. Kapitel III des DGA legt dabei Anforderungen an Datenvermittlungsdienste fest. Diese müssen sich im Sinne des DGA (definiert in Artikel 10) vor Aufnahme ihrer Tätigkeit bei der zuständigen Behörde anmelden. Wie die Anmeldung erfolgen muss und welche formellen Bedingungen hierfür erforderlich sind, wird in Artikel 11 festgelegt.
Neben formellen Anforderungen legt der DGA auch Bedingungen fest, die die Neutralität von Datenvermittlungsdiensten sicherstellen und Interessenkonflikte verhindern sollen (Artikel 12). So muss u. a. der Datenvermittlungsdienst von allen anderen Dienstleistungen eines Anbieters rechtlich getrennt sein. Der Anbieter darf die ihm zur Vermittlung anvertrauten Daten eines Datenvermittlungsdienstes zudem nicht für andere Zwecke nutzen. Ebenso enthält Artikel 12 Bedingungen für die Preisgestaltung, die der Anbieter für die Nutzung seines Datenvermittlungsdiensts entwickeln darf, für die Interoperabilität mit anderen Datenvermittlungsdiensten und für Maßnahmen zur Vermeidung von unbefugten Zugriffen auf anvertraute Daten.
Die Anmeldung eines Datenvermittlungsdiensts bei der zuständigen Behörde, in Deutschland der Bundesnetzagentur, ist nach Artikel 11 verpflichtend. Geprüft werden dabei lediglich die formellen Bedingungen für eine ordnungsgemäße Anmeldung. Eine Befolgung der Bedingungen aus Artikel 12, die insbesondere die Interessen der Nutzenden des Vermittlungsdiensts schützen, wird nur auf Antrag des Anbieters des Datenvermittlungsdienstes geprüft. Besteht ein Datenvermittlungsdienst auf diese weitergehende Prüfung der in Artikel 12 formulierten Bedingungen, darf er das Label „in der Union anerkannter Anbieter von Datenvermittlungsdiensten“ und das entsprechende Logo verwenden (siehe Abbildung 1). In einem zentralen Register werden die anerkannten Datenvermittlungsdienste gelistet [5]. Dieses Register enthält bisher (Stand Dezember 2024) allerdings erst ein gutes Dutzend Datenvermittlungsdienste – dabei ist kein einziger aus dem deutschsprachigen Raum.
Um die Entwicklung von Datentreuhandmodellen in Deutschland weiter voranzutreiben, fördern die EU und das Bundesministerium für Bildung und Forschung (BMBF) aktuell sechs Projekte zur nachhaltigen Etablierung und Skalierung von sektorübergreifenden Datentreuhändern [7]. In einem dieser Projekte, DTMForst [8], wie auch bereits im Vorgängerprojekt [9], ist ComConsult beteiligt und bringt sich im Projektteam bei der Entwicklung eines Datentreuhänders für die Forstwirtschaft ein.
Der Data Governance Act als eine zentrale Säule der EU-Datenstrategie ist bereits seit dem 24. September 2023 in Kraft. Ein weiterer wichtiger Pfeiler, der EU Data Act [6], trat am 11. Januar 2024 in Kraft. Ziel des Data Act ist es klarzustellen, wer unter welchen Bedingungen Werte aus Daten schaffen darf. Dabei stehen die Daten, die von vernetzten Geräten, Maschinen oder anderen Produkten erhoben werden und die sich außerhalb des Anwendungsbereichs der DGSVO befinden, im Vordergrund. Der Data Act soll insbesondere dem Nutzenden eines Produkts, das während der Nutzung Daten erhebt, mehr Rechte an diesen Daten einräumen (Artikel 4).
Ebenso wird die Datenweitergabe zwischen Unternehmen im Data Act thematisiert. Ein besonderes Augenmerk liegt dabei auf den KMUs. Zum einen werden sie von den Pflichten, die größeren Unternehmen bei der Datenweitergabe durch das Kapitel II des Data Act auferlegt werden, ausgenommen (Artikel 7). Zum anderen enthält das Kapitel IV in Artikel 13 „missbräuchliche Vertragsklauseln“ in Bezug auf Datennutzung und Datenzugang, die einem KMU nicht einseitig auferlegt werden dürfen. Hiermit soll dem Machtgefälle zwischen großen Maschinenherstellern und kleineren Unternehmen, die auf den Einsatz der Maschinen angewiesen sind, entgegengewirkt werden.
Damit beschreitet der EU Data Act einen ersten Schritt hin zu mehr Sicherheit in der Beantwortung der zentralen Frage „Wer darf was mit maschinengenerierten Daten?“, die dem Datenteilen so häufig im Weg steht. Alle Unklarheiten und Unsicherheiten wird der Data Act allerdings auch nicht beseitigen können.
Fazit zur EU-Datenstrategie
Um eine Weitergabe von Daten zu ermöglichen, bei der der Dateninhaber seine Souveränität über die Daten nicht verliert und die trotzdem eine Nutzung der Daten durch eine oder mehrere andere Parteien attraktiv macht, ist eine vertragliche Regelung zwischen Dateninhaber und Datennutzenden notwendig. Damit kann dem Dateninhaber eine eigentumsähnliche Hoheit über seine Daten gegeben und den Datennutzenden können Bedingungen für die Datennutzung gestellt werden. Der Data Act wird solche vertraglichen Regelungen zur Datenweitergabe stark beeinflussen.
Ein Datenvermittlungsdienst wie ein Datentreuhänder kann durch technische Maßnahmen bei der Durchsetzung der vertraglichen Regelungen zur Datenweitergabe unterstützen und so seine Rolle als neutraler Dritter zwischen Datengeber und Datennehmer ausfüllen. Zudem kann ein Datenvermittlungsdienst Werkzeuge, beispielsweise zur Konvertierung, Filterung oder Anonymisierung, die einen Datenaustausch erleichtern, beinhalten. Damit sind Datenvermittlungsdienste ein guter Weg zum fairen und selbstbestimmten Datenteilen.
Allerdings waren auch vor dem Data Governance Act und dem Data Act schon genau solche Datentreuhand-Lösungen am Markt. Nun könnte die bürokratische Hürde der durch den Data Governance Act erforderlich gewordenen Anmeldung von Datenvermittlungsdiensten neuen Datentreuhänder-Lösungen im Weg stehen. Auch wenn eine Anmeldung und im Idealfall eine freiwillige Überprüfung der Anforderungen aus Artikel 12 des DGA mit Sicherheit zu mehr Vertrauen in einen Datentreuhänder von Seiten der Nutzenden führen wird, stellen Anmeldung und Überprüfung für potentielle Anbieter eines Datentreuhänderdienstes neue Herausforderungen dar.
Ob die EU-Datenstrategie mit den beiden vorgenannten Rechtsakten zu einem sprunghaften Anstieg von Datentreuhänderdiensten und einem regen Datenteilen führen wird, bleibt abzuwarten.
Verweise
[1] https://www.theguardian.com/technology/2013/aug/23/tech-giants-data
[2] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066
[3] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32022R0868
[4] https://digital-strategy.ec.europa.eu/de/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union
[5] https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services
[6] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52022PC0068
[7] https://www.bildung-forschung.digital/digitalezukunft/de/technologie/daten/dtm-3-0-projektvorstellung/dtm-3-0-projektvorstellung_node.html
[8] https://www.kwh40.de/dtmforst/
[9] https://www.kwh40.de/s3i-x/