Am 23.02.2022 veröffentlichte die EU-Kommission ihren Entwurf eines neuen EU-Datengesetzes (EU Data Act). Sollte dieses Gesetz im EU-Parlament beschlossen werden, wird es große Auswirkungen auf die gesamte Wirtschaft der Europäischen Union haben. Denn bei diesem Gesetzesentwurf geht es um eine weitreichende Regulierung des Zugangs zu jedweden Daten.
Wem gehören Daten?
Die erste weitreichende EU-Regulierung bezüglich Daten war die Datenschutzgrundverordnung (DSGVO). Ähnlich wie die DSGVO soll das Datengesetz mit Verabschiedung auf EU-Ebene wirksam werden, ohne Mitspracherecht der nationalen Parlamente oder Regierungen der Mitgliedsstaaten.
Die DSGVO (englisch GDPR, General Data Protection Regulation) von 2016 regelt den Schutz personengebundener Daten. Bislang ist der Zugang zu anderen Daten EU-weit nicht einheitlich geregelt.
Nehmen wir das Beispiel der Hyperscaler: Eine Firma wie Google muss natürlich die DSGVO einhalten, sonst drohen ihr empfindliche Strafen bis 6% des globalen Umsatzes. Wenn jedoch Google-Daten pseudonymisiert (anonymisiert) werden, sodass es sich nicht mehr um personengebundene Daten handelt, behalten die Daten trotzdem einen großen Wert. Mit kostenlosen Diensten wie die Suchmaschine und die Navigation sammelt Google riesige Datenmengen darüber, nach welchen Informationen die Menschen suchen, wohin und wie sie sich bewegen etc. Dass solche Daten wertvoll sind, beweist das Geschäftsmodell von Google selbst. Die Firma verdankt wie Facebook praktisch ihren gesamten wirtschaftlichen Erfolg der Vermarktung von Daten (anders als die anderen drei der Big Five, nämlich Amazon, Apple und Microsoft, die zwar auch Daten verwerten, doch hauptsächlich mit der Vermarktung von Dienstleistungen oder Produkten groß geworden sind).
Es stellt sich eine grundsätzliche Frage, wenn ein Wirtschaftsunternehmen durch eine bestimmte Tätigkeit in den Besitz von Daten kommt. Wem gehören die Daten? Gehören sie uneingeschränkt diesem mehr oder weniger zufälligen Besitzer? Die EU verneint diese Frage mit dem Versuch der Regulierung.
Wie die EU den Zugang zu Daten regeln will
Der Inhalt des neuen Gesetzesentwurfs der EU umfasst hauptsächlich Folgendes:
- Hersteller und Designer müssen Produkte so gestalten, dass auf die mit der Nutzung des Produktes anfallenden Daten auf einfachem Wege zugegriffen werden kann.
- Halter von Daten werden verpflichtet, anderen Institutionen Daten zu fairen, nachvollziehbaren und nichtdiskriminierenden Konditionen (fair, reasonable and non-discriminatory, kurz FRAND) zu ermöglichen.
- Alle den obigen Anforderungen an die Konditionen des Datenzugriffs widersprechenden Geschäftsbedingungen der Datenhaltung sind unwirksam.
- Die öffentliche Hand bekommt in Fällen von Notlagen kostenlosen Zugang zu Daten.
- Datenverarbeitende Wirtschaftsunternehmen wie Cloud-Betreiber müssen den Wechsel von einem zum anderen Anbieter ermöglichen (vergleichbar mit der entsprechenden, etablierten Verpflichtung von Mobilfunkprovidern).
- Das Gesetz verpflichtet die Durchführung von Schutzmaßnahmen gegen den illegalen Zugang zu Daten seitens Dritter.
- Zusätzlich sieht das Gesetz standardisierte Formate für den Datenaustausch sowie digitale Vertragsabschlüsse (Smart Contracts) darüber vor. Ein digitaler Vertragsabschluss kommt zum Beispiel durch einen Klick auf den Button zur Annahme eines solchen Vertragsverhältnisses zustande.
- Zusammen mit dem Datengesetz soll eine Anpassung der bestehenden Datenbankverordnung der EU dahingehend erfolgen, dass maschinengenerierte Daten vom Schutz durch das Urheberrecht ausgenommen werden.
Diese Regelungen dürften vielen bisherigen Datenhaltern nicht sonderlich gefallen. Nicht zufällig haben manche Verbände der Computer- und Kommunikationsbranche ihre Bedenken gegen den neuen Gesetzesentwurf geäußert.
Auswirkungen
Das neue EU-Datengesetz soll kein zahnloser Tiger werden. Bei Verstößen drohen ähnliche Strafen wie bei Verstößen gegen die DSGVO (s.o.).
Das künftige Datengesetz der EU wird große Auswirkungen auf viele Branchen haben. Ob es sich um einen Automobilhersteller oder eine Supermarktkette handelt: Wenn ein Unternehmen qua Charakter seiner Tätigkeit automatisch in den Besitz von Daten kommt, auch wenn diese nicht personengebunden sind, hat das Unternehmen künftig kein uneingeschränktes Eigentumsrecht auf diese Daten. Es muss jedem anderen Interessenten die Daten zu FRAND-Konditionen anbieten. Die Gestaltung dieser Konditionen ist nicht einfach. Vorbild könnte zum Beispiel die Regulierung der Preise sein, die von der Bundesnetzagentur für die Nutzung von Telefonkabeln der Deutschen Telekom durch andere Provider festgelegt wurde. Fair wäre z.B. ein Angebot zu Preisen, die den Gesamtaufwand des Datenhalters für die Haltung und Bereitstellung der Daten abdecken.
Fazit
Mit dem EU-Datengesetz wird Datenhaltung einschließlich der Schnittstellen und Formate für den Datenaustausch zum integralen Bestandteil des Designs jedes Produktes und jeder Dienstleistung, sofern mit der Nutzung automatisch Daten generiert werden. Technische Übersetzung: Werden mit der Nutzung eines Produktes oder einer Dienstleistung irgendwo unter der Kontrolle des Anbieters des Produktes oder der Dienstleistung Daten permanent abgelegt, wird der Zugang zu diesen Daten vom künftigen Gesetz reguliert. Berater mit Know-how über Datenhaltung, Datensicherung, Datensicherheit und Datenaustausch dürfen sich auf viele neue Aufträge von Interessenten freuen, mit denen sie bisher nicht oder kaum zu tun hatten.
