Datengesetz der EU: Alexa & Co. sollen Nutzerdaten herausgeben müssen
Mit einem "Data Act" will die EU-Kommission Anbieter im Internet der Dinge und in der Cloud dazu verpflichten, Nutzern einen einfachen Wechsel zu ermöglichen.
(Bild: metamorworks/Shutterstock.com)
Der Nebel um den geplanten "Data Act", mit dem die EU-Kommission das in Daten schlummernde Potenzial für die Gemeinschaft stärker heben will, lichtet sich weiter. Mit dem Datengesetz soll der Grundsatz eingeführt werden, dass jeder Nutzer Zugang zu den Informationen erhält, zu deren Erzeugung er beigetragen hat. Dies geht aus einem Entwurf für die Initiative hervor, aus dem das Online-Portal "Euractiv" zitiert. Offiziell wird die Kommission das Vorhaben demnach Ende Februar vorstellen.
Vertraulichkeit der Informationen und Geschäftsgeheimnisse
Anbieter vernetzter Produkte und damit verbundener Dienste sollen dem Bericht zufolge verpflichtet werden, die entsprechenden Daten dem Nutzer standardmäßig in leicht zugänglicher Form beziehungsweise maschinenlesbar zur Verfügung stellen. Betroffen wären etwa virtuelle Sprachassistenten und Chatbots wie Amazons Alexa, Apples Siri, Googles Assistant oder Microsofts Cortana und andere Services im Internet der Dinge. Der Nutzer soll die erhaltenen Daten kostenlos selbst nutzen oder sie mit Dritten teilen können.
Bei der Weitergabe sieht die Kommission aber Einschränkungen vor. So sollen der Datenverwalter und der Nutzer Maßnahmen vereinbaren, um die Vertraulichkeit der Informationen und Geschäftsgeheimnisse zu wahren. Die übermittelten Daten dürften zudem etwa nicht dazu verwendet werden, um Produkte der Konkurrenz zu entwickeln.
Insbesondere sollen die Nutzer oder Dritte solche Informationen nicht an große Digitalfirmen weitergeben können, die als "Gatekeeper" unter den Rahmen des geplanten Digital Markets Act (DMA) fallen. Im Gegenzug wird es dem Plan nach diesen Torwächtern untersagt, den Nutzer aufzufordern, Daten mit ihnen zu teilen oder von ihnen zu empfangen.
Regeln für Datenhalter
Datenhaltern soll es nicht gestattet sein, die Weitergabe von Daten technisch zu verhindern. Sie dürften von Ersuchenden nur zusätzliche Informationen anfordern, um zu überprüfen, ob die Anfrage autorisiert ist. Um den Einsatz von Designtricks wie "Dark Patterns" zu verhindern, dürfen Dritte Nutzer nicht "in irgendeiner Weise zwingen, täuschen oder manipulieren", indem sie seine "Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten" untergraben oder beeinträchtigen.
Für kleine Unternehmen sollen hier Ausnahmen gelten, solange sie nicht wirtschaftlich von einem größeren Konzern abhängig sind. Geschäftsbedingungen sollen fair, angemessen und nicht diskriminierend sein, andernfalls würden sie als nichtig betrachtet. Eine missbräuchliche Vertragsklausel definiert die Kommission als eine, die "grob von der guten Geschäftspraxis beim Datenzugang und bei der Datennutzung abweicht und gegen Treu und Glauben sowie die guten Sitten verstößt". Wenn eine Partei die Zugangsbedingungen als diskriminierend ansieht, soll der Datenhalter beweisen müssen, "dass keine solche Diskriminierung vorliegt".
Katastrophen, Pandemien und Anschlägen
Öffentliche Stellen könnten unter außergewöhnlichen Umständen wie öffentlichen Notfällen in Form von Naturkatastrophen, Pandemien und Terroranschlägen in verhältnismäßigem Umfang auf Daten zugreifen. Auch gesetzliche Pflichten werden als Grund angeführt, die Strafverfolgung wird aber ausgenommen. In Notfällen sollen Daten unentgeltlich zur Verfügung gestellt werden, während der Datenhalter in anderen Fällen von Firmen und Behörden eine Entschädigung in Höhe der tatsächlichen Kosten verlangen kann.
Öffentliche Stellen dürften erhaltene Daten nicht wiederverwenden, könnten sie aber für Forschungszwecke zur Verfügung stellen. Gegebenenfalls sollte der betroffene Diensteanbieter vorab selbst "angemessene Anstrengungen zur Pseudonymisierung der Daten unternehmen", heißt es weiter. Mit den Vorgaben will die Kommission das Prinzip der Datenportabilität aus der Datenschutz-Grundverordnung (DSGVO) mit Leben füllen.
Interoperabilität und harmonisierte Standards
Vorgesehen ist ferner eine Pflicht, wonach Verträge mit Anbietern der erfassten digitalen Dienste Klauseln enthalten müssen, die den einfachen Wechsel zu anderen Angeboten erleichtern. Es geht etwa um Interoperabilitätsanforderungen und Übergangsfristen, was sich aus einer zuvor geleakten Folgenabschätzung bereits ergeben hatte. Dienstleister sollen keine Gebühren für einen solchen Wechsel verlangen dürfen.
Wenn ein Nutzer etwa beschließt, einen Systemdienst, eine Software oder eine Anwendung von einem Cloud-Dienst wie Amazon AWS, Microsoft oder Google zu einem anderen zu verlagern, soll ihm eine "funktionale Gleichwertigkeit" geboten werden. Die Anbieter müssten eine weitgehende Kompatibilität mit offenen Standards oder Programmierschnittstellen (APIs) für alle anderen einschlägigen Services sicherstellen. Die Kommission wird eine oder mehrere europäische Normungsorganisationen auffordern, harmonisierte Standards für die Interoperabilität von Cloud-Diensten auszuarbeiten. Weitere Details könnte sie in einem delegierten Rechtsakt festlegen.
Staatlicher Cloud-Zugriff
Cloud-Anbieter müssten ferner möglichst alle ihnen zumutbaren Maßnahmen ergreifen, um den staatlichen Zugriff auf oder den Transfer von nicht-personenbezogenen Daten zu verhindern, wenn solche Aktivitäten gegen europäisches oder nationales Recht der Mitgliedsstaaten verstoßen würden. Gerichtliche Anordnungen aus Drittstaaten wären nur dann anzuerkennen, wenn sie auf einem internationalen Abkommen beruhen.
Für die Durchsetzung der Vorgaben sollen die einschlägigen Aufsichtsbehörden verantwortlich sein. Sanktionen würden nach dem aktuellen Stand ebenfalls erst auf nationaler Ebene festgelegt. Der Data Act gilt insgesamt als wichtiger Teil der europäischen Datenstrategie. Mit einem parallel verfolgten Data Governance Act will die Kommission zudem einen "vertrauensvollen Datenaltruismus" nicht nur in der Verwaltung fördern.
(bme)
