Der Data Act soll eine faire Datenökonomie schaffen. Das Ziel der EU: Unternehmen sollen mehr Daten für Innovationen und Wertschöpfung erhalten, Verbraucher:innen mehr Kontrolle haben und auch das Gemeinwohl soll profitieren. Fachleute sagen: Das Gesetz wird keines dieser Ziele erreichen.
Das Internet der Dinge wächst und mit ihm die Datenberge, die wir täglich produzieren. Egal ob Kühlschränke, Autos oder Industriemaschinen, immer mehr Haushalts- und Arbeitsgegenstände sind heute mit dem Internet verbunden. Bis zu 49 Milliarden vernetzte Geräte sollen es im Jahr 2026 sein, prognostiziert die Europäische Union. Doch wem gehören eigentlich die hierbei entstehenden Daten und wer darf sie wie nutzen? Das regelt in der EU bald eine neue Verordnung, der Data Act.
Nach knapp zwei Jahren Verhandlungen haben das EU-Parlament und der Rat die Verordnung im November endgültig beschlossen, ab 2025 wird sie wirksam. Die selbstgesteckten Erwartungen der EU für das Datengesetz, wie es auf Deutsch heißt, sind riesig. Bis 2028 soll es helfen, mehr als 270 Milliarden Euro Wertschöpfung aus Daten aus dem Internet of Things (IoT) zu generieren, sagt die EU-Kommission.
Gleichzeitig verspricht die EU, mit dem Data Act endlich den alten Widerspruch zwischen Datennutzung und Datenschutz aufzulösen. Denn dort, wo es um personenbezogene Daten geht, soll die Datenschutzgrundverordnung unberührt bleiben. Verbraucher:innen sollen sogar mehr Kontrolle über die Daten erhalten, die sie mit ihren Geräten co-produzieren. Und selbst das Gemeinwohl soll profitieren, indem auch der Staat in bestimmtem Situation IoT-Daten für gemeinnützige Zwecke nutzen darf.
Die Daten-Herrschaft der Hersteller brechen
Bislang profitieren vor allem die Gerätehersteller von den Daten aus dem Internet der Dinge. Die Daten aus vernetzten Fahrzeugen landen überwiegend bei den Autofirmen, die Daten aus Fitness-Armbändern bei den Anbietern von Wearables und die Daten aus smarten Landmaschinen bei Traktorproduzenten. Ihnen gehören die Daten zwar nicht, aber sie sind oft die einzigen, die darüber verfügen können.
Die Datenrechtlerin Louisa Specht-Riemenschneider nennt dies die „technisch-faktische Herrschaft“ der Gerätehersteller. Oft sind dies große Konzerne, oft haben sie ihren Sitz in den USA. Kleinere und mittelständische Unternehmen hätten hingegen oft keinen Zugang zu IoT-Daten, sagt die EU-Kommission. Nutzer:innen erst recht nicht. Das gilt für klassische Konsument:innen, die oft gar nicht wissen, wer mit welchem Gerät gerade welche Daten sammelt. Und für Geschäftskund:innen: Auch Betriebe, die smarte Maschinen kaufen oder mieten, hätten oft nur begrenzten Zugang zu den Daten, die daraus entstehen.
Dieses Machtungleichgewicht soll der Data Act ausgleichen und so einen IoT-Datenmarkt schaffen, von dem alle in Europa profitieren. Die Verordnung legt zum Beispiel fest, dass Nutzer:innen von den Datenhaltern (also in der Regel den Geräteherstellern) Zugang zu den Daten aus ihren IoT-Geräten einfordern können. Außerdem dürfen sie künftig Dritten Rechte einräumen, diese Daten zu nutzen. So sollen andere Unternehmen mit diesen Daten zum Beispiel eigene innovative Dienstleistungen entwickeln oder günstige Reparatur-Services anbieten können.
So soll es zum Beispiel für freie Werkstätten einfacher werden, an Diagnosedaten aus den Autos ihrer Kund:innen zu gelangen. Bislang können diese häufig nur von den teureren Vertragswerkstätten genutzt werden. Auch der Wechsel von Cloud-Anbietern soll mit Vorgaben zur Interoperabilität erleichtert werden. Das soll es europäischen Anbietern ermöglichen, die Vormachtstellung der US-Cloud-Riesen Amazon, Microsoft und Google herauszufordern.
„Theoretisch geht die DSGVO vor“
Mit diesen Regeln gilt der Data Act als wichtiger Baustein einer neuen Datenpolitik der EU. Erklärtes Ziel dieser Politik ist seit einigen Jahren, die Verfügbarkeit von Daten zu erhöhen. Mehr Daten heißt mehr Innovationen und das heißt mehr Wohlstand, o lautet die kaum widersprochene Annahme hinter der Datenstrategie der EU. Den Datenschutz will sie dabei nicht aushebeln, sondern als Bestandteil der Datenökonomie sehen. Weiterentwickeln will die EU ihn seit Beschluss der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 allerdings auch nicht, der Fokus liegt klar auf Datenzugang.
Der Hessische Datenschutzbeauftragte Alexander Roßnagel hält das für einen Fehler. Zwar schreibe der Data Act explizit, dass dieser die DSGVO „unberührt“ lasse. In Wirklichkeit werde es jedoch häufig zu Kollisionen und Unklarheiten zwischen den beiden Verordnungen kommen. Der Data Act habe schließlich die Kommerzialisierung von Daten zum Ziel. Statt zu erklären, wie das in Einklang mit der DSGVO funktionieren kann, stellt die EU die beiden Verordnungen nun einfach nebeneinander.
„Theoretisch geht zwar die DSGVO vor“, sagt Alexander Roßnagel. In der Praxis allerdings würden die Handlungsmöglichkeiten, die der Data Act für die Datennutzung eröffnen will, „die Verwirklichungsbedingungen des Datenschutzes teilweise erheblich verändern“. Problematisch sei etwa, dass der Data Act für gleiche oder zumindest ähnliche Sachverhalte andere Begriffe nutze als die DSGVO. So führt der Data Act beispielsweise die Begriffe „Dateninhaber“, „Datenempfänger“ und „Datennutzer“ ein, die teilweise überlappend, aber nicht gleichzusetzen seien mit dem „Verantwortlichen“ und der „betroffenen Person“ aus der DSGVO.
Das würde zu erheblicher Rechtsunsicherheit führen, so Roßnagel, der neben seinem Amt als Datenschutzbeauftragter auch Rechtsprofessor an der Universität Kassel und Sprecher des Forschungsprojektes „Plattform Privatheit“ ist. Erst die Praxis werde zeigen, ob diese Unklarheiten wirklich nicht zulasten des Datenschutzes gehen. Wenn Unternehmen aufgrund der Rechtsunsicherheit besonders zurückhaltend seien, werde der Data Act sein Ziel verfehlen, so Roßnagel. Wenn sie hingegen „die Kommerzialisierung der Daten ins Zentrum ihrer Praxis rücken, wird der Datenschutz leiden“.
Von wegen nicht personenbezogen
Auf Datenschutzbedenken am Data Act haben Verantwortliche der EU immer wieder mit dem Hinweis reagiert, dass er in erster Linie nicht auf personenbezogene Daten abziele, sondern auf Industriedaten aus smarten Maschinen. Das allerdings stimme nicht, sagt Alexander Roßnagel. „Zutreffend ist, dass der Data Act überwiegend gar keine Unterscheidung trifft, sondern für beide Arten von Daten gleichermaßen gilt.“
Die wichtigsten Regelungen würden für Daten gelten, die durch die Nutzung von vernetzten Produkten und Diensten erzeugt werden. Hierbei könnten immer Hinweise auf die Nutzer:innen enthalten sein, erklärt der Jurist.
Ob zum Beispiel Informationen aus einem smarten Kühlschrank als personenbezogene Daten gelten, kann davon abhängen, ob der Datenhalter sie mit anderen Informationen verknüfen kann. So können statistische Daten über den Energieverbrauch, die Auslastung und die eingelagerten Produkte für sich genommen harmlos sein. Doch wenn sie zusammen mit der IP-Adresse oder Kreditkartennummer der Nutzer:innen verarbeitet werden oder mit einer Smart-Home-App verknüpft sind, lassen sich leicht Personen identifizieren und Verhaltensprofile erstellen.
In der Praxis werde kaum nachvollziehbar sein, ob es sich um personenbeziehbare Daten handelt, sagt Alexander Roßnagel. Auch nicht für die Aufsichtsbehörden. Und das, obwohl es sich um teils hochgradig sensible Daten handeln kann, sind heute doch nicht nur Kühlschränke und Bohrmaschinen mit dem Internet verbunden, sondern auch Sex Toys und Herzschrittmacher.
Dass Verbraucher:innen allerdings schon auch bei der Nutzung von nicht-personenbezogenen Daten Probleme drohen könnten, betont Florian Glatzner von Bundesverband der Verbraucherzentralen. Die Verbraucherschützer haben von Anfang an Bedenken angemeldet, dass Unternehmen die Nutzer:innen über den Tisch ziehen könnten, wenn es um die Gestaltung der Datennutzungsverträge geht. Das ist heute schließlich an der Tagesordnung, wenn man daran denkt, wie Allgemeine Geschäftsbedingungen formuliert sind und wie wenig Wahlmöglichkeiten den Nutzer:innen meistens bleibt.
Nicht auf Augenhöhe mit Unternehmen
Die Datennutzungsverträge sind ein Kernstück des Data Act. Sie sollen es Nutzer:innen von IoT-Geräten ermöglichen, anderen Zugang zu ihren Daten zu geben. Das soll das Datenteilen voranbringen und Datenmärkte schaffen, von denen auch die Nutzer:innen finanziell profitieren. Allerdings unterscheide der Data Act nicht ausreichend zwischen privaten und geschäftlichen Nutzer:innen, kritisiert Florian Glatzner: „Verbraucher:innen können nur schwer abschätzen, welche Konsequenzen ein Datennutzungsvertrag hat.“ Sie seien in Vertragssituationen nicht auf Augenhöhe mit Unternehmen und hätten daher ein besonderes Schutzbedürfnis.
Während Betriebe etwa die Nutzungsverträge von Jurist:innen prüfen lassen können, fehlt den Verbraucher:innen in der Regel diese Möglichkeit. Sie könnten deshalb in Verträge zu ihrem Nachteil gelockt werden. Immerhin: Auf Druck des EU-Parlaments verbietet der Data Act bei solchen Verträgen manipulatives Design, sogenannte Dark Patterns, mit denen Nutzer:innen beispielsweise zum Ankreuzen einer bestimmten Option gedrängt werden.
Aus Sicht der Verbraucherschützer wäre es jedoch besser gewesen, im Gesetz klar zu definieren, zu welchen Zwecken Unternehmen IoT-Daten von Privatpersonen verwenden dürfen. Etwa zur Verbesserung, Wartung oder Reparatur der Geräte der Verbraucher:innen. „Derzeit befürchten wir, dass Unternehmen sich auch ohne den Einsatz von Dark Patterns sehr weitreichende Rechte an den Daten zugestehen lassen und diese für Zwecke verwenden können, die nicht im Interesse der Verbraucher:innen sind – wie etwa die Verwendung der Daten zur Profilerstellung und Werbung“, so Glatzner.
Ein anderer Weg wäre es gewesen, den Data Act von Beginn an weniger komplex zu gestalten. Zum Beispiel hätte man personenbezogene Daten ausklammern können, dann hätte die EU auch Widersprüche mit der DSGVO vermieden. Oder man hätte die Verordnung ausschließlich auf Industriedaten beschränken können, also auf den sogenannten B2B-Bereich, Business-to-Business. Verbraucherschützer Glatzner fürchtet: „Die Kombination aus komplexen, aber gleichzeitig allgemeinen Bestimmungen wird ihre Anwendung in der Praxis für alle Beteiligten sehr schwer machen.“
Hoher Aufwand, kleiner Effekt
Kritik gibt es tatsächlich nicht nur beim Daten- und Verbraucherschutz. Expert:innen zweifeln auch daran, dass der Data Act sein Ziel erreichen wird: die Verfügbarkeit von Daten erhöhen. Das liegt zum einen daran, dass große Teile der Wirtschaft schlicht gar kein Interesse am Datenteilen haben, wie die einhellige Kritik aus der Digitalindustrie an der Verordnung zeigt. Es liegt jedoch auch am Data Act selbst.
„Insgesamt erwarte ich, dass der Data Act einen sehr hohen Compliance- und Überwachungsaufwand nach sich zieht“, konstatiert etwa Aline Blankertz von Wikimedia Deutschland. „Demgegenüber stehen vermutlich bestenfalls kaum spürbare Verbesserungen auf den betroffenen Märkten, weil der Data Act so zögerlich vorgeht und komplexe Prozesse schafft.“ Wir haben die Ökonomin um eine Einschätzung gebeten, ob die Verordnung dazu führen wird, dass künftig mehr Daten für gemeinnützige Zweck eingesetzt werden können. Ihre Antwort: wohl kaum.
Die Zivilgesellschaft beispielsweise hat die Verordnung gar nicht im Blick. Man kann sich aber auch leicht Szenarien ausdenken, in denen staatliche Akteure mit IoT-Daten Gutes tun können: Verkehrsministerien könnten statistische Daten aus vernetzten Fahrzeugen nutzen, um Verkehrsflüsse umweltschonend zu steuern. Krankenkassen könnten anonymisierte Daten aus Fitnessarmbändern für die Versorgungsplanung einsetzen. Die Bundesnetzagentur könnte mit Konnektivitätsdaten überprüfen, ob Internetanbieter ihre Breitbandversprechen einhalten. Und überhaupt könnte man erstmalig verlässlich messen, wie viel Energie wir eigentlich brauchen, wenn aus jedem Haushaltsgegenstand eine vermeintlich smarte Maschine wird.
All dies sieht der Data Act allerdings nicht vor. Stattdessen seien die Bestimmungen für das Datenteilen von Unternehmen zum Staat „recht eng gefasst und zwar beschränkt auf Notsituationen“, kritisiert Blankertz. Gemeint sind hier Krisen- und Ausnahmesituationen wie etwa die Corona-Pandemie oder Naturkatastrophen. „Darüber hinaus können Staaten weiterhin keinen Datenzugang einfordern, um zum Beispiel Leistungen der Daseinsvorsorge zu verbessern.“ Daran hatte es aus der Zivilgesellschaft bereits früh Kritik gegeben, sie blieb unbeachtet.
Die Daten-Herrschaft wird nicht gebrochen
Bleibt also ein letztes Versprechen des Data Act: dass er die Datenverfügbarkeit für innovative Unternehmen erhöhen wird. Es ist der Kern der neuen Verordnung – und auch hier gibt es große Zweifel, ob sie dieses Ziel erreichen kann.
Skeptisch ist zum Beispiel Wolfgang Kerber, Professor für Volkswirtschaft an der Universität Marburg. Er sagt: Die EU habe die dominante Stellung der IoT-Hersteller zwar richtigerweise als das Hauptproblem erkannt. Allerdings sei sie davor zurückgeschreckt, diese Vormachtstellung konsequent zu brechen. Ihre Position werde durch die neuen Zugangsrechte höchstens ein wenig geschwächt. Das liege vor allem daran, dass „die konkrete Ausgestaltung des Datenzugangs- und Datenteilungsmechanismus im Data Act durch sehr viele Restriktionen und Anforderungen, hohe Transaktionskosten, Ausnahmen und Unklarheiten geprägt“ sei.
Insgesamt seien die Hürden für das Datenteilen weiter zu hoch. So müssen zum Beispiel Drittunternehmen, die von Nutzer:innen Datenzugang erhalten, den Datenhaltern eine Kompensation zahlen. Außerdem, so kritisiert auch Aline Blankertz von Wikimedia, könnten die Hersteller dem Datenteilen unter Umständen widersprechen. Zum Beispiel, wenn sie sich auf Geschäftsgeheimnisse berufen. Hinzu kommt eine Klausel, die es Dritten verbietet, mit den geteilten Daten Konkurrenzprodukte zu betreiben, eine erhebliche Wettbewerbsbeschränkung.
Wolfgang Kerber geht deshalb davon aus, dass der Data Act „nur in sehr beschränktem Umfang“ Daten für innovative Wettbewerber zur Verfügung stellen wird. Selbst auf Reparatur- und Wartungsmärkten werde sich die Situation kaum verbessern, so seine Prognose. Den Grund für das zögerliche Vorgehen der EU sieht Kerber in der falschen Annahme, dass IoT-Hersteller wirtschaftliche Anreize bräuchten, um ihre Produkte auf den Markt zu bringen. „Ein solches generelles Anreizproblem existiert aber nicht, da IoT-Geräte an die Nutzer:innen verkauft werden, so dass die Investitionskosten über die Verkaufspreise gedeckt werden können.“
Entsteht ein Quasi-Eigentumsrecht an Daten?
Am Ende könnte der Data Act sogar das Gegenteil des erhofften Effekts erreichen, warnt Kerber. Statt die Herrschaft der Hersteller über die Daten aus IoT-Geräten zu brechen, könnten sie sich ihre Verfügungsgewalt künftig vertraglich fixieren lassen. Statt einem Schub für das Datenteilen würde die Verordnung dann ein Quasi-Eigentumsrecht an nicht-personenbezogenen Daten bringen.
„Der europäische Gesetzgeber sollte sehr vorsichtig sein, dass der Data Act nicht auf einen längerfristigen Pfad zur Entstehung eines expliziten Eigentumsrechts in Bezug auf nicht-personenbezogene Daten führt“, warnt der Wirtschaftswissenschaftler. „Dies würde zu einer weiteren starken Ballung von Datenmacht mit vielerlei negativen Auswirkungen auf Innovation, Wettbewerb und die freien Wahlmöglichkeiten von Individuen und Unternehmen beitragen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires