Data Act: Firmen fühlen sich von Pflicht zur Datenherausgabe überfordert
Mit dem Data Act will die EU-Kommission die Datenwirtschaft beflügeln. Doch der Hut ist zu groß, fürchten viele und verweisen etwa auf Einwilligungsprobleme.
(Bild: mixmagic/Shutterstock.com)
Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) war für viele Firmen und Webseitenbetreiber nicht einfach. Mit dem geplanten Data Act, mit dem die EU-Kommission das in Daten schlummernde Potenzial heben will, dürften zusätzliche Auflagen auf sie zukommen und obendrein Abgrenzungsprobleme zwischen beiden Gesetzen. Dies wurde am Montag bei einer Konferenz des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD), des Deutschen Industrie- und Handelskammertag (DIHK) und der Stiftung Datenschutz in Berlin deutlich.
Zusammenspiel mit DSGVO funktioniert nicht
Von einem bevorstehenden "Paradigmenwechsel" sprach der Hamburgische Datenschutzbeauftragte Thomas Fuchs. Er finde es zwar toll, dass der Data Act vorausschauend eine neue Welt zu regeln versuche. Das Zusammenspiel mit der DSGVO funktioniere aber nicht: Beide Verordnungen stünden wie Altarbilder nebeneinander, "die unterschiedliche Geschichten erzählen".
So sei etwa das Einwilligungsmodell aus der DSGVO für die mit dem Data Act umrissene "massenhafte Datenteilung" nicht sinnvoll, meinte Fuchs und fragte: "Wollen wir Cookie-Banner beim autonomen Fahren?" Zudem seien etwa die Informationspflichten, das Beschwerderecht und die Sanktionen nicht deckungsgleich. Bei der Aufsicht kämen zusätzlich "sektorale Behörden" dazu, ein Koordinierungsmechanismus fehle. Für den Kontrolleur steht so fest: "Das wird kein Spaß."
Ein hohes Maß an Unwägbarkeiten machte Christian Dürschmied, Anwalt bei der Kanzlei Eversheds Sutherland, im Graubereich zwischen Data Act und DSGVO aus. Der Anwendbarkeit der beiden Verordnungen und vor allem der damit verknüpften Rollen von Datenverarbeitern sowie Betroffenen sei oft "nicht so ganz klar abgrenzbar", gab er zu bedenken. Laut dem diskutierten Entwurf etwa müsse bei einer "gemeinsamen Verantwortlichkeit" in einer Vereinbarung in transparenter Form festgelegt werden, "wer welche Pflichten zur Einhaltung dieser Verordnung erfüllt". Solche vagen Formeln stießen bei Beobachtern "auf Verwunderung".
Informationspflichten als "besondere Herausforderung"
Generell steht laut Dürschmied beim Data Act die "optimale Datennutzung" im Vordergrund, nicht der Schutz personenbezogener Informationen. Die Vorschriften aus der DSGVO sollten zwar "unberührt" bleiben, also auch Grundsätze der Datenminimierung sowie für Privacy by Design etwa per Pseudonymisierung und Anonymisierung. Andererseits könne über den skizzierten Zugang etwa zu Daten aus dem Internet der Dinge über Nutzerkonten aber ein Personenbezug hergestellt werden. Spätestens bei einer Verknüpfung von Messwerten komme man so "zwangsläufig ins Datenschutzrecht" und müsse beide Bereich austarieren.
Als Beispiel nannte der Jurist die Frage, ob Firmen auf eine Einwilligung oder ein berechtigtes Interesse zur Datennutzung setzen sollten. Spätestens beim Zugang Dritter müssten einfache Ablehnungsmöglichkeiten bestehen. Designtricks wie "Dark Patterns" dürften nicht angewandt werden. Andererseits werde mit dem Data Act ein Profiling zulässig, wenn eine solche Zusammenführung "unbedingt erforderlich" sei, um den vom Nutzer gewünschten Dienst zu erbringen: "Das verwirrt Unternehmen beim Thema Tracking."
Betroffenenrechte wie Informationspflichten seien ferner eine "besondere Herausforderung", berichtete Dürschmied. Hier stießen viele schon bei der DSGVO an ihre Grenzen, jetzt drohten zusätzliche Auflagen. Verarbeiter wollten hier einen möglichst umfassenden Ansatz. Mit dem Recht auf Datenzugang und dem Konto komme aber ein zusätzliches Auskunftsrecht, was den Firmen noch mal "was abverlangt". Und das in einem Rechtsrahmen, "in dem vieles unklar ist". Auch in Bezug auf Auftragsverarbeiter und die geplante "Datenportabilität 2.0" lasse sich das Puzzle "nicht mehr so ganz perfekt zusammensetzen".
Datenaustausch erleichtern
Sollte die Kommission ihren Entwurf weitgehend durchbringen, riet der Anwalt Unternehmen zu dem Versuch, die neuen Vorgaben in ihr bestehendes Datenschutzmanagement-System zu übertragen. Es gelte, neue Konformitätsprozesse einzuführen und bestehende zu aktualisieren. Dabei müssten die Zuständigen "alle abholen" und die Vorgaben universell verständlich machen. Zuvor war auch den europäischen Datenschutzbeauftragten das Vorhaben übel aufgestoßen.
Kernanliegen der Initiative aus Brüssel ist es, den Datenaustausch zwischen Unternehmen untereinander und mit der öffentlichen Hand voranzubringen, neue Datenzugangsrechte bei vernetzten Produkten einzuführen sowie den internationalen Datentransfer sicherer zu machen. Jeder Nutzer soll Zugriff auf alle Informationen erhalten, zu deren Erzeugung er beigetragen hat. Anbieter vernetzter Produkte und verbundener Dienste wie virtuelle Sprachassistenten müssten entsprechende Daten dem User standardmäßig in leicht zugänglicher Form in Echtzeit kostenlos zur Verfügung zu stellen.
Die Kommission wolle hier einen riesigen Hut kreieren, der universell gegen Sonne, Regen und Blitz schütze, monierte Klemens Gutmann vom Kommunikations- und IT-Dienstleister Regiocom. So würden ganz unterschiedliche Anwendungsbereiche über einen Kamm geschert. Dabei hätten etwa die IT-Wirtschaft oder Triebwerkehersteller völlig andere Anforderungen an den Umgang mit Daten. So könne ein Offenlegungszwang etwa für Vertragswerkstätten oder Katastrophenhelfer nützlich sein, nicht jedoch einem Start-up, das große Datenmengen aus Sensoren aus großen Gebäuden oder dem Internet der Dinge auswerte.
Hut noch zu groß
Mit der drohenden Pflicht zur Herausgabe von Daten tat sich auch Mike Gahn vom Software-Entwickler Ownsoft schwer: "Ich wüsste nicht, was da gehen sollte, ohne Persönlichkeitsrechte zu tangieren." Selbst im Geschäftskundenumfeld gebe es letztlich ein Verhältnis zum Endnutzer, der einschlägige Ansprüche erheben könnte. Kleine Firmen würden davon überproportional belastet. Schon jetzt verlangten Kunden zwar eine Exportfunktion. Datenbanken seien bislang aber nicht interoperabel. Dafür müsste jede Branche Standards definieren, was er sich gar nicht vorstellen könne.
Der Hut sei noch zu groß, bestätigte Vera Demary vom Institut der Deutschen Wirtschaft: 72 Prozent der deutschen Firmen seien noch gar nicht in der Lage, Daten effizient zu bewirtschaften. Angesichts der Gas-, Energie- und Klimakrise werde es zwar immer wichtiger, Messwerte zu nutzen und zu teilen. Dies sei aber heute schon prinzipiell nötig, der größte Hemmschuh sei allerdings die Unkenntnis über den vorhandenen Rechtsrahmen. Eine Pflicht könnte viele Firmen sogar davon abbringen, datenbasierte Dienste und Produkte auf den Markt zu bringen, wenn Netzwerkeffekte verlorengingen oder die Konkurrenz aus China Daten anfrage. Sinnvoller wäre es daher, den Data Act auf Aspekte wie den einfachen Wechsel zwischen Cloud-Anbietern zu beschränken.
Auch Benjamin Brake aus dem Bundesministerium für Digitales und Verkehr warnte vor einer bürokratischen Belastung für die Wirtschaft und einem "perfektem Sturm" zusammen mit anderen EU-Digitalgesetzen. Es sei zwar richtig, mehr und bessere Daten zur Verfügung zu stellen. Offen bleibe aber etwa, unter welchen Bedingungen Unternehmen Daten für den Staat zur Verfügung stellen müssten.
Anna Ludin von der Generaldirektion Kommunikationsnetze, Inhalte und Technologien der Kommission, verwies hier auf "außergewöhnliche Situationen" wie Notstände, Pandemien und Klimakatastrophen. Insgesamt gebe es eine gewisse Kontinuität, vor allem im Ansatz, keine neuen Exklusivitätsrechte für Daten zu etablieren. Sie hoffte, dass es im Ministerrat bald zu einem Kompromiss komme und das EU-Parlament Anfang 2023 sein Verhandlungsmandat festzurre.
(mho)
