Data Act: EU-Parlament beschließt Recht auf Zugang zu IoT-Nutzerdaten
Anwender werden 2025 auf ihre Daten in vernetzten Geräten von Alexa bis zu Windrädern zugreifen können. Der Wechsel zwischen Cloud-Diensten wird einfacher.
Jeder EU-Bürger soll Zugriff auf alle Informationen erhalten, zu deren Erzeugung er beigetragen hat. Das bestimmt der Data Act, den das Europäische Parlament am Donnerstag mit der großen Mehrheit von 481 zu 31 Stimmen verabschiedet hat. 71 Abgeordnete haben sich enthalten. Der EU-Rat hat grundsätzlich zugestimmt, muss den Beschluss aber noch absegnen.
Der Data Act verpflichtet Anbieter vernetzter Produkte und damit verbundener Dienste, die entsprechenden Daten dem Anwender in leicht zugänglicher Form in Echtzeit sowie kostenlos zur Verfügung zu stellen. Betroffen sind virtuelle Sprachassistenten und Chatbots wie Alexa, Siri, Assistant oder ChatGPT genauso wie Services im Internet der Dinge (IoT), also etwa Software von Fitness-Uhren sowie vernetzte Autos und Windräder.
Hauptanliegen der Anfang 2022 von der EU-Kommission gestarteten Daten-Initiative ist, den Datenaustausch zwischen Unternehmen untereinander und mit der öffentlichen Hand voranzutreiben. Das Datengesetz soll zur Entwicklung neuer Dienstleistungen beitragen, insbesondere im Bereich der Künstlichen Intelligenz (KI). Bei der Ausarbeitung von Verträgen über die gemeinsame Nutzung von Daten wird das Gesetz die Verhandlungsmacht kleiner und mittlerer Unternehmen stärken sowie missbräuchliche Vertragsklauseln großer Konzerne unterbinden.
Daten sollen Innovation beflügeln
Durch den erleichterten Datentransfer soll die Verordnung dabei helfen, wertvolle Erkenntnisse zu gewinnen, Innovationen voranzutreiben und neue Geschäftsmodelle zu entwickeln. So könnten etwa freie Werkstätten die Autos ihrer Kunden überwachen und zeitgerecht Wartungen oder Reparaturen anbieten. Jegliche Weitergabe personenbezogener Daten, die aufgrund des Data Acts erfolgt, muss der Datenschutz-Grundverordnung (DSGVO) entsprechen.
Die Abgeordneten wollen mit dem Data Act Unternehmen dazu ermutigen, ihre Daten im öffentlichen Interesse an öffentliche Stellen weiterzugeben. Dazu gehören Informationen rund um den Klimawandel, Gesundheitsnotfälle und andere gesellschaftliche Herausforderungen. Solange es sich nicht um Notsituationen handelt, ist dieser Austausch auf Daten aus der Industrie beschränkt.
Mit Datenschutz
Personenbezogene Daten können Behörden nur im Einklang mit der DSGVO bei Katastrophen wie Überschwemmungen und Waldbränden oder "zur Erfüllung eines gesetzlichen Auftrags" abfragen – sofern die begehrten Informationen nicht sowieso ohne Weiteres auf andere Weise verfügbar sind.
Die von den EU-Gesetzgebungsgremien ausgehandelten Normen sehen vor, dass ein Unternehmen "in Ausnahmefällen" die Weitergabe "spezifischer Daten" zum Schutz von Betriebs- und Geschäftsgeheimnissen verweigern kann. Dafür ist ein Nachweis nötig, wonach ihm durch die Offenlegung mit hoher Wahrscheinlichkeit trotz vereinbarter Schutzmaßnahmen "ein erheblicher wirtschaftlicher Schaden entsteht". Eine solche Befürchtung muss hinreichend begründet sein und auf objektiv nachvollziehbaren Punkten beruhen.
Ist ein individueller Nutzer mit derlei Erläuterungen nicht zufrieden, kann er eine Beschwerde bei der zuständigen nationalen Behörde einreichen. Diese muss dann ohne unangemessene Verzögerung entscheiden, "ob und unter welchen Bedingungen die Datenweitergabe startet oder wieder aufgenommen wird". Daneben können auch Sicherheitserfordernisse und der Einsatz "proprietärer Algorithmen" Gründe für Verweigerung der Datenherausgabe sein.
Abbau von Schranken in der Cloud
Der Wechsel zwischen Anbietern von Cloud-Diensten soll erleichtert werden. Anbieter müssen weitgehende Kompatibilität mit offenen Standards oder Programmierschnittstellen (APIs) für alle anderen auf dem Markt verfügbaren einschlägigen Services sicherstellen. Normungsorganisationen sollen harmonisierte Standards für die Interoperabilität von Cloud-Diensten erarbeiten. Einen ähnlichen Anspruch auf Datenportabilität enthält bereits die DSGVO. Dieser erstreckt sich aber nur auf personenbezogene Informationen. Mit dem Data Act können Kunden auch Übertragung nicht persönlicher Datenbestände an konkurrierende Anbieter beantragen.
Der EU-Rat muss den im Juni mit dem Parlament gefundenen Kompromiss noch bestätigen. Das Datengesetz soll dann 20 Monate nach seiner Veröffentlichung im Amtsblatt der EU gelten, also voraussichtlich ab Mitte 2025. Neu eingeführte Produkte müssen im Anschluss so gestaltet sein, dass die Daten spätestens nach zwölf Monaten problemlos abgerufen werden können. Bestehende Verträge für IoT-Produkte sind binnen fünf Jahren anzupassen.
Kritische Reaktionen
Cecilia Bonefeld-Dahl, Generaldirektorin des IT-Dachverbands Digitaleurope, befürchtet, dass das Datengesetz trotz der während des Verhandlungsprozesses erzielten Verbesserungen "die europäische Industrie benachteiligen wird, indem es sie zwingt, hart erarbeitete Daten aufzugeben". Zudem werde die Vertragsfreiheit eingeschränkt, "was möglicherweise zu einer neuen Welle der Deindustrialisierung in einer Zeit steigender Energiekosten und angespannter Wirtschaftsaussichten" führe. Nun müsse es darum gehen, den potenziellen Schaden "auf technischer Ebene", etwa durch Richtlinien oder Vertragsvorlagen, zu mindern. Auch Datenschützer hatten anfangs schwere Bedenken gegen das Vorhaben.
"Deutschland und Europa müssen Daten künftig intensiver und intelligenter nutzen, etwa im Gesundheitswesen, in der Mobilität oder zur Stärkung des Klimaschutz", betonte Ralf Wintergerst, Präsident des Digitalverbands Bitkom. Der Data Act wolle diesen Datenaustausch zwar fördern, "doch auch nach dem heutigen Beschluss bleiben zu viele Fragen offen". So fehlten Standards und Spezifikationen sowohl für Datenaustausch als auch für den Anbieterwechsel in der Cloud.
(ds)