Innovative Lösungen für IT- und OT-Sicherheit auf der it-sa 2024 interaktiv erleben
Redaktion Digital Chiefs
Vom 22. bis 24. Oktober 2024 versammelt sich die IT-Sicherheitsbranche in Nürnberg zur it-sa Expo ...
Zum BeitragEnde Februar 2022 hat die EU-Kommission erste Details über das geplante Datengesetz vorgestellt. Der Data Act soll vor allem für einen faireren, offeneren Umgang mit in der EU erzeugten Daten sorgen. Viele halten das Gesetz für begrüßenswert, aber so wie Bitkom noch verbesserungswürdig.
Der neue Data Act, den die EU-Kommission am 23. Februar 2022 erstmals offiziell präsentiert hat, soll unter anderem den Datenaustausch zwischen Unternehmen sowie zwischen Unternehmen und der öffentlichen Hand vorantreiben. Außerdem soll das Datengesetz Hersteller dazu verpflichten, mehr Datentransparenz in ihre Produkte zu legen. Schließlich soll es den Plänen der Kommission zufolge für mehr Fairness im digitalen Umfeld sorgen, neue Chancen für datengesteuerte Innovation eröffnen und Daten für alle mehr zugänglich machen.
Die EU-Kommission denkt dabei insbesondere auch an den Austausch von Industriedaten, deren Potenziale meist brachliegen, weil diese Daten zu 80 Prozent nicht genutzt werden. Das neue Datengesetz will die rechtlichen, technischen und wirtschaftlichen Hürden angehen, die der Datennutzung und -teilung im Wege stehen. Die neuen Vorschriften sollen mehr Raum für die Weiternutzung der Daten geben und so das Bruttoinlandsprodukt der EU bis 2028 um weitere 270 Milliarden Euro steigern.
Achim Berg, Präsident des Branchenverbands Bitkom, sieht „Auswirkungen, die weit über die Digitalbranche hinausgehen und alle Branchen und Sektoren berühren“. Er mahnt jedoch an: „Der Data Act muss so gestaltet werden, dass er die europäische Datenwirtschaft auf Augenhöhe mit den weltweit führenden Digitalstandorten bringt“. Das Ziel des Gesetzes, das Teilen von Daten voranzubringen und die Datenverfügbarkeit zu stärken, ist aus seiner Sicht zwar zu begrüßen. Aber er sieht auch noch Nachbesserungsbedarf und einige Kritikpunkte, so zum Beispiel die vorgesehenen Eingriffe in die Vertragsfreiheit zwischen Unternehmen.
Stein des Anstoßes ist etwa, dass größere Unternehmen in den Vertragsklauseln kleineren Partnern nicht ihre stärkere Verhandlungsposition „aufdrücken“ dürfen.
Berg kritisiert zudem das vorgesehene Verbot bestimmter Regeln für das Teilen von Daten in den Standardverträgen. Auch bei der Weitergabe von Unternehmensdaten an die öffentliche Hand müsse nachgebessert werden, findet der Bitkom-Chef.
Denn es gelte, die Prinzipien der freien Marktwirtschaft zu erhalten. Skeptisch äußert er sich auch, was die geplanten neuen Kompetenzen der EU-Kommission hinsichtlich der Vorgabe von Standards für Cloud-Dienste und Datenräume betrifft. „Bei diesen jungen Märkten besteht die reale Gefahr, dass Wettbewerb und damit auch Innovation in Europa ‚wegstandardisiert‘ werden“ und Überregulierung den internationalen Datentransfer bedrohe. Dabei gebe es so wie zwischen Europa und den USA schon laufende Initiativen, um für potenzielle Rechts- und Interessenskonflikte Lösungen zu finden.
Damit sind schon einige der wichtigsten Punkte des geplanten Digitalgesetzes umrissen. Weitere Punkte und Reaktionen darauf sind:
Der Data Act soll laut unmittelbar für alle Hersteller vernetzter Produkte, Anbieter digitaler Services und Nutzer solcher Produkte und Services gelten und Hersteller verpflichten, ihre Produkte (wie etwa auch Smartwatches) „datentransparenter“ zu gestalten. Dazu gehört laut Security Insider auch, dass die Nutzer der Produkte einen einfacheren Zugang zu den jeweils gesammelten Daten haben sollen. Die Nutzer sollen auch weitere Rechte bezüglich der Nutzung und Weitergabe der Daten haben. So können sie den Dateninhaber (Data Owner) künftig ermächtigen, einem anderen Dienstleister Zugang zu den Daten zu gewähren, ein Vorschlag, der Kleinst- und Kleinunternehmen jedoch ausnimmt, wie es bei der internationalen Wirtschaftskanzlei Pinsent Mansions zum geplanten Data Act heißt. Dessen Datenrechtsexperte Lauro Fava stellt allerdings die Frage, „ob überhaupt ein Marktversagen vorliegt, das eine Regulierung in dieser Detailtiefe rechtfertigt“. Schließlich hätten sich bereits Viele für Maßnahmen ausgesprochen, die den freiwilligen Datenaustausch in der Industrie fördern sollen.
Wie Favo weiter ausführt, werde der Vorschlag sicherlich von den Anbietern von Mehrwertdiensten begrüßt, welche die Daten der Hersteller benötigen, um ihre Dienste zu entwickeln. Vor allem kleinere Unternehmen könnten davon profitieren, während die Hersteller prüfen müssten, wie sich der Kontrollverlust über die von ihnen verfügten Daten auf ihre Marktposition und ihr Bestreben, die Daten zu vermarkten, auswirken könnte. Der Vorschlag der Kommission sieht zwar Ausgleichs- oder Entschädigungszahlungen für den Datentransfer an Dritte vor, allerdings soll das zu „fairen, angemessenen und nichtdiskriminierenden Bedingungen und auf transparente Weise“ geschehen. Und das heißt im Klartext, dass der Dateninhaber auf die eigentlichen Kosten keine Gebühren draufschlagen darf, abermals ein Punkt, der die Rechte kleinerer und mittlerer Unternehmen schützen soll.
Die EU-Mitgliedsstaaten sind den Vorschlägen der Kommission zufolge ferner verpflichtet, Streitbeilegungsstellen einzurichten, bei der Dateninhaber und Datenempfänger im Zweifel jeweils Beschwerde einlegen können. Ruth Maria Bousonville, Datenrechtsexpertin bei Pinsent Mansions, findet die Vorschläge der Kommission zur gemeinsamen Nutzung von Daten noch „unausgegoren“. Sie fragt zum Beispiel, warum das nur für Daten gelten soll, die durch Nutzung eines Produktes oder einer damit verbundenen Dienstleistung entstehen. Dabei seien durch die Nutzung von Online- und mobilen Diensten erzeugte Daten von gleichem wirtschaftlichem Wert, Standortdaten aus Apps etwa. Wie sie weiter kritisiert, greifen die Vorschläge zwar tief in die Vertragsfreiheit ein, „lösen sie aber nicht die grundlegenden Probleme wie Datenschutzbedenken, die heute ein großes Hindernis für die gemeinsame Nutzung von Daten darstellen“.
Der Data Act ist Teil einer Gesamtstrategie der EU-Kommission zur Gestaltung der digitalen Zukunft Europas, wozu auch die vorher schon auf den Weg gebrachte DSGVO und der ebenfalls geplante neue Data Governance Act gehören. Problematisch bleibt der Umgang der Daten beim Austausch der Daten, wenn sie den EU-Raum verlassen. Um den internationalen Datenschutz zu gewährleisten, müssten Unternehmen jederzeit kontrollieren können, wann sensible Daten Landesgrenzen und insbesondere den EU-Raum verlassen, und daher sei es wichtig, die Kontrolle der technischen Infrastruktur von der der Daten zu trennen.
Das ist auch wichtig in Bezug auf Cloud-Dienste, denn in einer Umfrage von Bitkom Research und KPMG gaben 75 Prozent der Unternehmen, die vor einer Public Cloud noch zurückschrecken, als Grund hierfür an, dass sie den unberechtigten Zugriff auf sensible Daten befürchten. Das neue Datengesetz zielt darauf ab, „eine nahtlose Multi-Vendor-Cloud-Umgebung zu fördern“, wozu auch der leichtere Wechsel von einem zu einem anderen Provider gehören soll. Das Problem ist aber die sogenannte „Datenschwerkraft“. Teil des Gesetzesvorschlag und des geplanten Data Governance Act ist daher, die Anbieter zu offenen Standards und API-Kompatibilität zu verpflichten, um den „Datenaltruismus“ zu fördern.
Fazit: Beide Gesetzesinitiativen, der Data Act und der Data Governance Act, haben das Zeug, die Datenökonomie langfristig zu transformieren und zu einer bisher nicht dagewesenen europäischen Datensouveränität zu bringen. Doch wie Bitkom-Präsident Berg und andere Kommentatoren anmerken, gibt es noch so manchen Verbesserungsbedarf. Denn Innovation „wegstandardisieren“, so O-Ton Berg, kann auch nicht im Interesse der EU sein.
Quelle Titelbild: Adobe Stock/PeterschreiberMedia