Wie sich Bedenken gegen den Data Act ausräumen lassen
Welcome, Data Act! Zu dieser Aussage stehe ich nach wie vor. Die Intentionen des EU-Gesetzes für die Ausgestaltung eines fairen, wertbasierten Marktes für neue datengetriebene Geschäftsmodelle rund um IoT sind aus europäischer Sicht sehr zu begrüßen, wie ich in meinem vorangegangenen Artikel dargelegt habe. Doch räume ich ein, dass der vorliegende Entwurf seine Schwachstellen hat: Konkrete Vorgehensweisen, Kontrollmöglichkeiten und Sanktionen sind noch zu definieren. Möglicherweise benötigen wir aber „nur“ von Grund auf neue IoT-Plattform-Infrastrukturen, die per Design die Gesetzesanforderungen umsetzen (Data-Governance by Design).
Erklärtes Ziel des EU Data Act ist es, einen europäischen Binnenmarkt für datengetriebenes Business zu fördern. Dazu müssen möglichst alle Hindernisse beiseite geräumt werden, die einem Austausch der Daten zwischen privaten Nutzern, Unternehmen und Behörden im Weg stehen. Gleichzeitig geht es der EU aber auch darum, das Datenmonopol der großen US-Anbieter – und der aufstrebenden asiatischen Konkurrenz – zu brechen.
Die „Gatekeeper“ aus diesen Regionen, allen voran Amazon, Google, Meta (Facebook), Apple und Microsoft, fungieren de facto als Gesetzgeber der digitalen Welt. Sie ziehen Informationen an sich, ohne dass die eigentlichen Eigentümer davon wissen, geschweige denn davon profitieren könnten. Auf diesen Daten bauen sie ihre Geschäftsmodelle auf und konstruieren sie so, dass sie ihre Kund:innen an sich binden. So behindern sie Third-Party-Services und erschweren den Wechsel zwischen verschiedenen Betriebsmodellen, beispielsweise von einem Cloud-Provider zum anderen.
An der Schwelle zu einer neuen Industrie
Derartige Datensammler gibt es in Europa nicht. Die erste Welle der Datenwirtschaft ist an uns vorbeigerollt. Manche mögen das bedauern, andere sehen darin auch die Chance für einen demokratischeren Umgang mit den Daten. Fakt ist, dass wir die zweite Welle nicht verschlafen sollten.
Derzeit ist häufig von der Deindustrialisierung Deutschlands die Rede. Diejenigen, die das Schlagwort nutzen, denken dabei meist an den Produktionsrückgang in Branchen wie Rohstoffbearbeitung und Investitionsgüter. Was sie dabei außer Acht lassen, ist der fortschreitende Wandel von der physischen zur digitalen Industrie. Und genau hier gilt es jetzt, diese so zu gestalten, dass neue „Räume“ für europäische Anbieter entstehen.
Einen solchen Raum stellen datengetriebene Geschäftsmodelle auf Basis der im Internet of Things (IoT) generierten Daten dar. Manche werden sagen: Das ist doch ein alter Hut. Ja, es gibt bereits Massen von Daten, aber auch eine Diskrepanz zwischen Vorhandensein und Nutzen. Die kommt zum großen Teil daher, dass die Daten in proprietären Welten eingesperrt sind. Ein konzern- und institutionsübergreifender Datenaustausch würde eine Vielzahl neuer Anwendungsoptionen eröffnen.
Was wir tatsächlich brauchen
Dazu bräuchten wir jedoch zweierlei: zum einen gemeinsame Standards und Plattformen, um die Daten in aufbereiteter Form für Dritte zur Verfügung zu stellen, zum anderen bilaterale und kollektive Nutzungsverträge („Generative Smart Contracts“), die digital automatisiert regeln, wer auf welche Daten Zugriff hat und welche Verarbeitungsmöglichkeiten eingeräumt sind. Darin wäre verbindlich festgelegt, welche Daten der Owner mit wem teilen würde und was er oder sie gegebenenfalls als Gegenleistung erwartet. Das könnte nicht nur auf der persönlichen Ebene funktionieren, sondern auch für Unternehmen und andere Organisationen. Eingeschlossen sein müsste die Zusicherung, dass am Ende der Geschäftsbeziehung alle mit dem jeweiligen Profil verbundenen Daten automatisch gelöscht werden.
Verbände zeigen auf die Achillesferse
Die Grundidee des Data Act ist die, dass die Datenerzeuger auch das Nutzungsrecht haben sollen. Gleiches gilt für Dritte mit berechtigten Interessen. Beispielsweise wäre es sinnvoll, wenn der Katastrophenschutz im Notfall auf geologische oder meteorologische Daten privater Quellen zugreifen könnte. Um die Datenwirtschaft im EU-Raum anzukurbeln, müssen unkritische Daten aber auch für Hersteller und Dienstleister verfügbar gemacht werden.
Hier setzt die Kritik der Industrieverbände an: Der VDMA etwa äußerte bereits die Befürchtung, dass auf diese Weise Betriebsgeheimnisse publik werden könnten. Es sei nicht ausgeschlossen, dass Mitbewerber die freigegebenen Daten nutzen, um ihre eigenen Produkte zu verbessern. Der Gesetzgeber erklärt zwar, dass er genau das nicht dulden werde, aber er hat noch nicht explizit gesagt, wie er es verhindern will.
Tatsächlich sehen einige Kritiker in der – mangelnden – Unterscheidung von erlaubtem und untersagtem Gebrauch der Daten die Achillesferse des Gesetzes. Hier treffen unterschiedliche Interessen in einem nicht abschließend geregelten rechtlichen Raum aufeinander. Nutzer:innen verlangen zu Recht, dass die von ihren Geräten erzeugten Daten auch Dritten, beispielsweise zu Wartungszwecken, zugänglich sind. Die Produzenten der Geräte möchten diese Informationen meist für sich behalten.
Was genau „Geschäftsgeheimnisse“ sind, wie lang ihre Halbwertszeit ist und welchen Anteil an der ständig steigenden Datenflut sie haben, gilt es noch zu untersuchen. Dann gälte es abzuwägen, wie die verschiedenen Interessen gewichtet werden sollen. Wird der Schutz des geistigen Eigentums entsprechend hoch eingestuft, muss nach Wegen gesucht werden, wie die „kritischen“ Datenbestandteile von den unkritischen isoliert beziehungsweise ihre Weitergabe – auch über Dritte – verhindert werden kann.
Data-Act-ready by Design
Der EU Data Act könnte für automatisch erzeugte Daten eine ähnliche Rolle spielen wie die Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten. Letztere hat erkennbar dazu beigetragen, die europäischen Service-Provider zu stärken und internationale Anbieter zu bewegen, ihre Daten im EU-Raum zu speichern. Analog dazu sieht der Entwurf des EU Data Act vor, Gatekeeper und Behörden außerhalb der EU als Datenempfänger auszuschließen. Hierfür gilt dasselbe wie für den Schutz von Betriebsgeheimnissen: Mit welchen Mitteln der unkontrollierte Datenverkehr unterbunden werden soll, ist noch zu klären.
Dazu habe ich ein paar Ideen: Im Idealfall brauchen wir neue Iot-Plattforminfrastrukturen. Sie müssen per Design die Bestimmungen des Gesetzes umsetzen, die Berechtigungen der Nutzer:innen prüfen, die erlaubte Verwendung der Daten freigeben und die untersagte Weitergabe blockieren. Denkbar wäre eine Zertifizierung durch die EU. Beispielsweise könnte eine zu gründende „IoT/Data-Act-Aufsicht“, ähnlich der europäischen Bankenaufsicht (EBA) mit ihren nationalen Behörden (BaFin, etc.), diese Zertifizierung vornehmen und für den zukünftigen Betrieb zumindest stichprobenartig prüfen, ob die Daten rechtmäßig verwendet werden. Und im Fall der Zuwiderhandlung müssen die Verstöße sanktioniert werden.
Auf keinen Fall sollten wir uns von anfänglichen Bedenken abhalten lassen, auf der zweiten Datenwelle zu surfen und einen europäischen Binnenmarkt für die Datenwirtschaft aufzubauen. Es liegt in der menschlichen Natur, dass jede angekündigte Veränderung zunächst das Beharrungsvermögen aktiviert. Aber Zukunft passiert nicht von allein. Sie geschieht durch Handeln – und durch das Überwinden von anfänglichen Widerständen. Dabei ist ein ambitioniertes Zukunftsbild stets auch damit verbunden, aufzuzeigen, dass es sich lohnt, die Veränderung einzugehen. Und wem wäre es nicht wichtig, mit einem in Bayern produzierten Auto auf allen Straßen der Welt sicher fahren zu können? Bildlich geht es mit dem Data Act genau darum: Straßen und Verkehrsregeln so zu konzipieren, dass Transport und Dienstleistungen darauf sicher und in einem freien Markt möglich sind.
Sie haben Fragen zum Thema Data Act? Dann kontaktieren Sie mich gerne direkt über die Kontaktdaten in meinem Autorenprofil.
Einen weiteren Artikel zum Thema Data Act finden Sie hier.
Quelle Titelbild: AdobeStock/Andrii Yalanskyi
