270 Milliarden Euro Zuwachs für das Bruttoinlandsprodukt der Europäischen Union: Mit dieser astronomischen Zahl macht die EU-Kommission derzeit Werbung für eine neue Verordnung. Der Ende Februar vorgestellte Data Act [PDF] soll künftig regeln, wer unter welchen Bedingungen Zugang zu Daten bekommt und sie nutzen darf.
Bisher herrsche in diesen Fragen in Europa große Unsicherheit, konstatiert die Kommission. Das will sie ändern und mit der neuen Verordnung Klarheit schaffen. Darüber hinaus will sie auch das Kräfteverhältnis am Datenmarkt ausgleichen: Weniger Macht für große Datenkonzerne, mehr Kontrolle und „mehr Mitsprache“ für gewöhnliche Unternehmen und Verbraucher:innen. Künftig soll etwa nicht mehr erlaubt sein, dass nur Hersteller die Daten vernetzter Geräte verwenden dürfen. Das sehen aktuell in vielen Fällen Nutzungsverträge vor – von der Industrieanlage über den smarten Traktor bis zum modernen Auto.
Die Kommission setzt mit dem Data Act den Weg fort, den sie 2020 in ihrer Datenstrategie skizziert und 2021 mit dem Data Governance Act begonnen hat. Lange Zeit lag der Fokus der EU noch auf dem Datenschutz, und die Kommission konnte ihre Vorhaben aufgrund der seit Jahren andauernden Blockade der ePrivacy-Verordnung nicht beenden. Nun soll es primär darum gehen, Daten in Europa besser zu nutzen. Deren Potenzial werde hierzulande schließlich nicht ausgeschöpft, heißt es in der zugehörigen Pressemitteilung, „80 % der Industriedaten werden nie genutzt.“
Fairness-Test für Datenlizenzen
Die Kommission verspricht erneut, mit ihren Daten-Initiativen nicht nur das monetäre, sondern auch das „gesellschaftliche Potenzial von Daten freisetzen“ zu wollen. Dennoch macht die Kommunikation rund um den Data Act sehr deutlich, wo der Schwerpunkt liegt: Er ist ein Wirtschaftsprojekt. Allein im Gesundheitssektor könnten jährlich 120 Milliarden Euro gespart werden. Und bis 2030 könne das Internet der Dinge (IoT) in der EU einen Wert von bis zu elf Billionen Euro entwickeln.
Dass dieser Wert nicht nur von wenigen Unternehmen, vor allem aus den USA, abgeschöpft wird, ist sicher ein hehres Ziel. Um die Dominanz großer Datenkonzerne zu brechen, will die Kommission zum Beispiel die Verhandlungsposition kleiner und mittelständischer Unternehmen am Datenmarkt stärken. In einem Fairness-Test sollen Nutzungslizenzen von IoT-Dienstgen geprüft werden. Bestimmte Vertragsklauseln, die Handwerksbetriebe oder Landwirte bei der Nutzung vernetzter Geräte benachteiligen, sollen verboten werden.
Auch der Wechsel von Cloud-Anbietern soll durch Interoperabilitätsvorgaben erleichtert werden, was die Vormachtstellung der Cloud-Riesen Amazon, Microsoft und Google schwächen könnte.
Zudem sollen staatliche Stellen in Situationen mit besonderem Datenbedarf für öffentliche Zwecke vereinfachten Zugriff auf Daten aus dem privaten Sektor bekommen. Konkret nennt der Text etwa öffentliche Notstandssituationen und andere Ausnahmefälle („public emergencies and other exceptional situations“), etwa eine globale Virus-Pandemie.
Zivilgesellschaftliche Expert:innen sind jedoch skeptisch, dass dies ausreichend ist, damit Daten in Europa künftig nicht nur dem Profit, sondern dem Gemeinwohl dienen. Wer sich zum Data Act umhört, stößt auf ein sehr ernüchterndes Echo.
Ad-hoc-Anfragen statt gemeinnütziger Infrastruktur
Die Verordnung sei eine „verpasste Gelegenheit, öffentlichen Stellen mehr Informationsmacht zu verschaffen“, sagt etwa Paul Keller vom Thinktank Open Futures. Statt grundsätzliche Zugriffsmöglichkeiten auf wichtige Daten bei Unternehmen und anderen privaten Akteur:innen zu gewähren, beschränke sich die Verordnung auf ad-hoc-Anfragen in Ausnahmesituation.
Dabei sei in den vergangenen Jahren viel darüber gesprochen worden, wie Daten fürs Gemeinwohl eingesetzt werden könnten. Keller hätte sich erhofft, dass die Kommission einen der Vorschläge aufgreift, nach denen neue öffentliche Institutionen aufgebaut werden, die öffentliche Daten gezielt für gesellschaftliche Zwecke managen und teilen. Das sei jedoch nicht geschehen.
Auch Tom Jennissen vom Verein Digitale Gesellschaft merkt an, dass es zwar in einer Pandemie nachvollziehbar sei, die öffentliche Nutzung von Unternehmensdaten „vom Notstand her zu denken“. Für ein Gesetz, das einen grundlegenden Rahmen für die Datennutzung setzen soll, greife das jedoch zu kurz.
Schlechte Bedingungen für ehrenamtliche Datenarbeit
Noch deutlicher wird Aline Blankertz vom gemeinnützigen Verein Sine Foundation: Das gelungenste am Data Act sei seine Zielrichtung. Dass große Tech-Unternehmen weniger exklusive Rechte an Daten haben und es mehr Gerechtigkeit bei der Schaffung von Wert aus Daten gibt, sei schließlich ein Ziel, dem sich viele ohne große Bauchschmerzen anschließen können. „Doch die richtigen Ziele garantieren leider nicht die Auswahl der passenden Maßnahmen.“
Enttäuscht ist auch die Wikimedia Foundation, die nicht nur die Wikipedia betreibt, sondern mit Wiki Data auch eine riesige Datenbank mit öffentlichem Wissen. Sie hätte sich gewünscht, dass das Datenbankherstellerrecht grundlegend reformiert wird, das derzeit die Nachnutzung von Daten erschwere, „selbst wenn der Schutz von dem jeweiligen Datenbankhersteller unerwünscht ist.“ In der Praxis werde so ehrenamtliche Arbeit bei der Sammlung von Daten erschwert und Text- und Data-Mining „in vielen Fällen unmöglich gemacht.“
Konkretisierungsbedarf an entscheidenden Stellen macht auch Lajla Fetic vom Projekt „Ethik der Algorithmen“ der Bertelsmann Stiftung aus. Sie lobt die Stoßrichtung des Vorhabens, weist jedoch unter anderem darauf hin, dass insbesondere nicht-kommerzielle Initiativen auf konkretere Zugangsmöglichkeiten und einheitliche Standards angewiesen sind, „damit der ‚Datenschatz‘ tatsächlich auch für gesellschaftliche Ziele genutzt werden kann.“
Fetic weist zudem auf das enorme Diskriminierungspotenzial, das in Daten steckt. „Sie sind ein Rückspiegel unserer aktuellen gesellschaftlichen Verhältnisse und geben damit Voreingenommenheit und Vorurteile wieder.“ Damit die gesellschaftlichen Risiken von datenbasierten Anwendungen minimiert und die Potenziale nutzbar gemacht werden, müsse die Kommission auch für verbindliche Standards für die Qualität und Repräsentativität von Daten sorgen.
„Systematische Überforderung von Individuen“
Bei einem der Kernelemente der Datenverordnung drohen weitere Probleme. Eigentlich will die Kommission es nicht nur Unternehmen, sondern auch individuellen Nutzer:innen von smarten Geräten leichter machen, selbst Zugang zu den über sie erzeugten Daten zu bekommen. Denn auch wenn die Kommission vor allem von „Industriedaten“ spricht, geht es in der Verordnung auch um die personenbezogenen Daten, die im Internet der Dinge entstehen – vom Sprachassistenten über das smarte Auto bis zum vernetzen Sexspielzeug.
Eigentlich gewährt die Datenschutzgrundverordnung Nutzer:innen hier bereits ein Recht auf Datenportabilität, also die Mitnahme des eigenen Datensatzes. In der Praxis spielt das bislang aber kaum eine Rolle. Die Daten kommen meist in unbrauchbaren Formaten daher und kaum ein Anbieter bietet bislang eine einfache Möglichkeit, ein altes Profil von einem anderen Dienst zu integrieren.
Paul Keller vom Thinktank Open Futures begrüßt daher grundsätzlich, dass die Kommission das Zugangsrecht der Ko-Produzent:innen schärfen will. Nutzer:innen ein Recht auf die Daten zu geben, die von ihnen und über sie generiert werden, sei eine gute Idee, die das Potenzial habe, Lock-In-Effekte aufzubrechen, bei denen sich Nutzer:innen nicht aus dem Ökosystem eines Anbieters lösen können. Im besten Fall könnte dies die Wahlfreiheit der Nutzer:innen stärken.
An der Wirksamkeit dieses Vorhabens aber meldet Aline Blankertz von der Sine Foundation erhebliche Zweifel an. Der Ansatz der individuellen Souveränität sei eine „systematische Überforderung von Individuen“, wie man sie bereits von der DSGVO kenne. „Was genau sollen die Verbraucher:innen eigentlich mit diesen Daten tun? Sollen sie selbst ihren Energieverbrauch analysieren und optimieren?“ Um produktive Datenanalysen betrieben zu können, brauche es Vergleichsdaten und größere Datensätze. Diese aber würden bei großen Marktakteuren verbleiben.
Diese Dynamik zu durchbrechen, sei schwer, doch der Data Act unternehme „trotz ehrgeiziger Rhetorik“ nicht mal den Versuch. Hierzu müssten etwa „Verbraucher:innenschutzorganisationen oder andere zivilgesellschaftliche Organisationen, die nicht-kommerzielle Interessen vertreten“ eingebunden werden können, sagt Blankertz, die bis vor kurzem bei der Stiftung Neue Verantwortung zu derartigen Datentreuhändern gearbeitet hat. Mit dem Konzept ist die Hoffnung verbunden, dass Organisationen Individuen bei der Wahrung ihrer Rechte und bei der kollektiven Nutzung ihrer Daten unterstützen.
Pseudonymisierung statt Datenschutz
Blankertz kritisiert zudem, dass der Verordnungsentwurf bestehende Spannungsfelder zwischen Datenschutz und Datennutzung nicht adressiert. „Zu den Rechtsunsicherheiten in der DSGVO gesellen sich nun weitere aus dem Data-Act-Entwurf“, so die Expertin. Tatsächlich löst die Verordnung keines der vielen Probleme wie etwa die Frage, ob und wann ehemals personenbezogene Daten sicher als anonymisiert gelten können.
Einen ganz anderen Kritikpunkt im Bereich des Datenschutzes bringt Tom Jennissen von der Digitalen Gesellschaft an. Denn der oben beschriebene staatliche Zugriff auf Daten in Ausnahmesituation soll nicht auf Unternehmensdaten begrenzt sein, sondern auch personenbezogene Daten betreffen. Solche außerordentlichen Bedarfe könnten nach dem Entwurf „nicht nur im Falle eines öffentlichen Notstands gegeben sein, sondern auch, wenn es noch keine gesetzliche Grundlage gibt und die Behörde sich die Daten nicht anders beschaffen konnte.“ Im Klartext würde das heißen, dass dies schon dann möglich ist, wenn es „schlicht für alle Beteiligten einfacher ist, die Daten nach den Verfahren des Data Acts herauszugeben“, so der Jurist.
Diese Regelung sei viel zu weit gefasst und drohe zentrale rechtsstaatliche Grundsätze wie die Gesetzesbindung der Verwaltung zu unterhöhlen, sagt Jennissen. Zu allem Überfluss sollen personenbezogene Daten im Zweifel nur pseudonymisiert werden, bevor der Staat sie erhält. Dies sei als Schutzmaßnahme wirkungslos, wenn umfassende Daten erhoben und von verschiedenen Stellen geteilt würden.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires