Data Act

Neue Pläne zur Datennutzbarkeit und -weitergabe

Mit dem Data Act soll die Datenwirtschaft der EU entscheidend vorangebracht werden und für den globalen Wettbewerb gestärkt werden. Was sich für Unternehmen ändern könnte und worauf in Zukunft zu achten ist, erfahren Sie in diesem Beitrag.
Von 
CSO | 01. März 2022 17:35 Uhr
Ein Wachhund hinter einem Zaun darf zwar bellen. Er kann aber nicht auf die andere Seite des Zaunes. So ähnlich soll es nach den Plänen der EU so genannten Gatekeepern gehen. Sie sollen künftig zwar ihre gesammelte Daten zur Verfügung stellen, selbst aber keinen Zugriff auf die Nutzerdaten von anderen Unternehmen erhalten.
Ein Wachhund hinter einem Zaun darf zwar bellen. Er kann aber nicht auf die andere Seite des Zaunes. So ähnlich soll es nach den Plänen der EU so genannten Gatekeepern gehen. Sie sollen künftig zwar ihre gesammelte Daten zur Verfügung stellen, selbst aber keinen Zugriff auf die Nutzerdaten von anderen Unternehmen erhalten.
Foto: Lunja - shutterstock.com

Am 23. Februar 2022 hat die EU-Kommission den Entwurf für ein neues Datengesetz vorgelegt. Durch den Data Act, der ein wichtiger Baustein der europäischen Datenstrategie ist, soll der gerechte Datenaustausch in der EU auf den Weg gebracht werden. Ziel ist es, Verteilungsgerechtigkeit der Daten zwischen den privaten Akteuren der Datenwirtschaft (Business to Business) zu schaffen und die Datenwirtschaft zu fördern. Ebenso regelt der Data Act die Weitergabe von Daten von privatwirtschaftlichen Unternehmen an den Staat (Business to Government). Ein besonderer Fokus des Data Act liegt auf nicht-personenbezogenen Daten, die von vernetzten IoT-Objekten erfasst werden.

EU Data Act soll Zugangsrechte und Datennutzung regeln

Mit dem neuen Gesetz will die EU allen Nutzern, ob Einzelperson oder Organisation, Zugang zu den Daten ermöglichen, zu deren Generierung sie beigetragen haben. Hersteller und Anbieter vernetzter Produkte sollen dazu verpflichtet werden, die von Anwendern erzeugten Daten zur Verfügung zu stellen, anstatt diese bloß anzusammeln und für sich zu behalten.

Ziel der EU-Kommission ist es, das in Daten verborgene Potenzial nutzbar zu machen, um Innovationen zu fördern. Sie will insbesondere Start-Ups und KMU unterstützen, die häufig selbst nicht über die notwendigen Daten verfügen, indem der Zugang zu Daten anderer Unternehmen ermöglicht wird. Daten als ökonomische Ressource zu nutzen, ermöglicht schließlich die Verbesserung von Produkten und Produktionsprozessen und fördert die Entwicklung datenbasierter Geschäftsmodelle. Dateninhaber dürfen die Datenherausgabe technisch nicht verhindern. Dafür sollen sogenannte Dark Patterns verboten werden. Der Zugang zu und die Nutzung von Daten soll für alle Beteiligten Akteure fair sein und wettbewerbskonform ausgestaltet werden. Nach Ansicht der Kommission sollen Smart Contracts den Zugang zu und die Nutzung von Daten möglich machen.

Einschränkungen der Datennutzung durch den Data Act

Die Nutzung der freigegebenen Daten soll indes nicht unbeschränkt möglich sein. So sollen Geschäftsgeheimnisse dadurch geschützt werden, dass die erhaltenen Daten von den jeweiligen Datennutzern nicht zur Herstellung von Konkurrenzprodukten verwendet werden.

Lesetipp: Geistiges Eigentum schützen - Was CISOs vom Fall Motorola lernen können

Sogenannte Gatekeeper, die unter den ebenfalls in Planung befindlichen Digital Markets Act (DMA) fallen, dürfen dem neuen Gesetz zufolge keine Daten von Dritten abrufen. Gatekeeper sind Konzerne mit besonders großer Marktmacht und Bedeutung. Insbesondere die US-amerikanischen Big-Tech-Unternehmen wie Apple, Google, Amazon, Microsoft und Facebook werden demzufolge verpflichtet, ihre Daten mit anderen Unternehmen zu teilen, erhalten selbst jedoch keinen Zugriff auf Daten anderer Unternehmen.


Angesichts der Tatsache, dass damit faktisch vor allem US-amerikanische Internetkonzernen die Zugriffsrechte verwehrt werden, wird mit dem Data Act allem Anschein nach das Ziel verfolgt, die marktbeherrschende Stellung von US-Konzernen zugunsten europäischer Firmen zu verschieben und Europa im globalen Wettbewerb zu stärken.

Öffentlicher Sektor

Der Data Act soll darüber hinaus die Weiterverwendung von Daten des Privatsektors durch den öffentlichen Sektor ermöglichen, sofern die Datennutzung im öffentlichen Interesse steht. Von der Nutzung der Daten des privaten Sektors erhoffen sich die EU-Behörden wertvolle Erkenntnisse, um Pandemien zu bekämpfen, politische Entscheidungen faktengestützt und evidenzbasiert zu treffen oder um Städte umweltfreundlicher zu gestalten.

Die an den öffentlichen Sektor zu übermittelnden Daten sollen durch technische Lösungen auf ein Mindestmaß beschränkt werden. Soweit der Grundsatz der Datenminimierung nicht eingehalten werden kann, sieht der Data Act angemessene Schutzmaßnahmen vor, jedoch ohne diese weiter zu konkretisieren. In Notfällen müssen die Daten dem Staat unentgeltlich zur Verfügung gestellt werden, während der Dateninhaber sonst eine Entschädigung in Höhe der tatsächlichen Kosten verlangen kann. Die Nutzung zu Zwecken der Strafverfolgung ist ausgeschlossen.

Neue Regelungen für Cloud-Anbieter

Cloud-Anbieter sollen in Zukunft gemeinsame Standards schaffen, um Nutzern einen unkomplizierten Wechsel zur Konkurrenz zu ermöglichen. Sie sollen aus diesem Grund verpflichtet werden, die unkomplizierte und kostengünstige Übertragung von Daten und Anwendungen bei "funktionaler Äquivalenz" sicherzustellen. Momentan werden Nutzer häufig durch hohe Kosten oder fehlende Interoperabilität von einem Anbieterwechsel abgehalten. Durch die Neuregelungen soll der Cloud-Markt kompetitiver werden. Gleichzeitig sollen die Anbieter dafür Sorge tragen, dass die in der Cloud gespeicherten Daten vor staatlichen Zugriffen geschützt werden. Gerichtliche Zugriffsanordnungen aus Drittstaaten seien offenzulegen und nur anzuerkennen, wenn diese auf internationalen Abkommen beruhen, heißt es.

Lesetipp: So gefährdet Cloud Computing die IT-Sicherheit

Kritik am Cloud Act

Die neuen Pläne dürften dennoch nicht nur auf Zustimmung stoßen, da Unternehmen vor große Herausforderungen gestellt werden. Zwar sollen die Entschädigungen für die Zurverfügungstellung von Daten angemessen sein. Der mit der Neuregelung einhergehende Aufwand dürfte allerdings enorm sein: Produkte müssten in Zukunft derart gestaltet werden, dass Daten unkompliziert und unbürokratisch weitergegeben werden können. Problematisch ist außerdem, dass der Grundgedanke des Data Acts eine Gefahr für viele Geschäftsmodelle darstellen dürfte, da Hersteller vernetzter Produkte die gesammelten Daten nicht mehr exklusiv nutzen könnten. Auch mit einer Berufung auf Geschäftsgeheimnisse können Hersteller der Datenweitergabe dem jetzigen Entwurf zufolge nicht entgehen.

Darüber hinaus müssen die Anbieter alle "angemessenen technischen, rechtlichen und organisatorische Maßnahmen" ergreifen, um zu verhindern, dass Drittstaaten Zugriff auf nicht-personenbezogenen Daten erhalten, wenn das gegen das europäische oder das Recht der EU-Staaten verstößt.

Lesetipp: Schrems II und das Finale der Trilogie

Unternehmen wären demnach künftig nicht nur zum Schutz personenbezogener Daten verpflichtet, sondern müssten auch nicht-personenbezogene Daten umfassend vor unautorisierten Zugriffen schützen. Von diesen Pflichten wären nicht große Firmen und US-Internetkonzerne, sondern auch kleine und mittelständische Unternehmen betroffen. Dafür sollen kleine Unternehmen allerdings von der Pflicht zur Datenweitergabe ausgenommen werden, wenn diese nicht wirtschaftlich von anderen größeren Unternehmen abhängig sind.

So geht es weiter

Momentan handelt es sich nur um einen Entwurf der EU-Kommission, welcher sich aller Wahrscheinlichkeit noch ändern wird. Damit das Gesetz in Kraft treten kann, ist zudem die Zustimmung des Europaparlaments und der Mitgliedstaaten erforderlich. Wann das Gesetz in Kraft tritt und welche Regelungen es im Einzelnen enthalten wird, steht noch nicht fest. Unabhängig davon, welche Änderungen noch erfolgen werden, dürfte es jedoch zwingend sein, dass Anbieter vernetzter Produkte das Gesetzesvorhaben im Blick behalten, um zeitnah auf die neue Rechtslage reagieren zu können.

Produktanpassungen und Überarbeitungen der Datenschutzkonzepte werden unvermeidbar sein. Der Data Act muss unter Einhaltung des Data Governance Act, der Datenschutzgrundverordnung, der E-Privacy-Richtlinie und anderen Datenschutzregelungen umgesetzt werden. Ebenso wird es notwendig sein, dass Produkthersteller selbst tätig werden, um Geschäftsgeheimnisse zu schützen. (bw)

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.