EU einigt sich auf Datengesetz

Das Europäische Parlament und der Rat erzielten in den späten Abendstunden des Dienstags (27. Juni) eine politische Einigung über das EU-Datengesetz.

Das Datengesetz ist ein wegweisender Schritt, der Hindernisse für die Verbreitung nicht-personenbezogener Daten beseitigen soll. Es regelt die Rechte und Pflichten aller Wirtschaftsakteure, die an der Herstellung und Nutzung der Produkte im Bereich des Internet-der-Dinge beteiligt sind. Dabei handelt es sich um vernetzte Geräte, die Daten sammeln und weitergeben können.

Mit der Einigung vom Dienstag überbrückten der EU-Rat, das Parlament und die Kommission ihre Differenzen zu den wichtigsten Aspekten des Datengesetzes. Es soll nun formell verabschiedet werden, da der Text in den kommenden Tagen auf technischer Ebene angepasst wird.

„Das Datengesetz wird sicherstellen, dass die Weitergabe, Speicherung und Verarbeitung von Industriedaten in vollem Einklang mit den europäischen Vorschriften erfolgt. Es wird eine dynamische Datenwirtschaft schaffen, die innovativ und offen ist, aber zu unseren europäischen Standards“, sagte EU-Kommissar Thierry Breton.

Gemeinsame Nutzung von Daten

Das Datengesetz führt den Grundsatz ein, dass die Nutzer von Produkten des Internet-der-Dinge, das Recht haben sollten, auf die Daten zuzugreifen, zu deren Erzeugung sie beigetragen haben. Sie können diese Daten selbst übermitteln oder sie auf der Grundlage vertraglicher Vereinbarungen mit Dritten ihrer Wahl teilen.

Die Daten, die unter die Verpflichtung zur gemeinsamen Nutzung fallen, sind diejenigen, die „die Digitalisierung von Nutzeraktivitäten und -ereignissen darstellen.“ Diese resultieren aus den Handlungen der Nutzer, ob absichtlich, indirekt oder im Standby-Modus.

Personenbezogene Daten müssen im Einklang mit den EU-Datenschutzvorschriften anonymisiert werden. Dieser Datenaustausch muss standardisiert sein und in Echtzeit erfolgen, beispielsweise bei den geografischen Daten eines vernetzten Autos.

Ein Streitpunkt war der territoriale Geltungsbereich der Verpflichtungen zur gemeinsamen Nutzung von Daten. Da unklar war, wie die Anforderungen an die Datenempfänger durchgesetzt werden können, wenn die Organisation ihren Sitz außerhalb der EU hat. Es wurde vereinbart, dass die Empfänger ihren Sitz in Europa haben müssen.

Bewahrung von Geschäftsgeheimnissen

Ein weiteres kontroverses Thema war die Frage, wie sichergestellt werden kann, dass die Verpflichtungen zur gemeinsamen Nutzung von Daten nicht zur Offenlegung kommerziell sensibler Daten führen. Die EU-Länder drängten auf einen strengeren Schutz, während die Abgeordneten des Europäischen parlaments befürchteten, dass die Einführung umfangreicher Ausnahmeregelungen den gesamten Zweck der Verordnung untergraben würde.

In den Verhandlungen hat man sich auf eine Notfallregelung geeinigt. Demnach können Unternehmen, denen „schwerwiegende und nicht wieder gutzumachende wirtschaftliche Verluste“ drohen, welche ihre wirtschaftliche Existenz gefährden, den Zugang zu Daten verweigern, wenn die sich auf Geschäftsgeheimnisse beziehen.

Diese Fälle müssen den zuständigen nationalen Behörden gemeldet werden, die die Entscheidung zeitnah überprüfen müssen.

Eine weitere Ausnahme gilt, wenn besondere Sicherheitsanforderungen bestehen, die durch die gemeinsame Nutzung von Daten beeinträchtigt werden könnten. Daten, die über komplexe „proprietäre (unternehmenseigene) Algorithmen“ verarbeitet werden, wurden ebenfalls vom Anwendungsbereich der Verordnung ausgenommen.

Einführung von Datenmärkten

Der vielleicht wichtigste Aspekt des Datengesetzes ist der Versuch, Top-Down-Datenmärkte zu schaffen, die auf den Regeln für Datenvermittler im Rahmen des Data Governance Act basieren.

Das Europäische Parlament hat insbesondere den Grundsatz eingeführt, dass sowohl die Eigentümer von vernetzten Geräten als auch die Produkthersteller mit den erzeugten Daten Geld verdienen können. Dies geschieht durch die gemeinsame Nutzung, den Verkauf oder die Vergabe von Lizenzen an andere Unternehmen, wie zum Beispiel Start-ups oder Forschungseinrichtungen.

Die Nutzer können, nicht-personenbezogene, granulare Daten verkaufen, während die Dateninhaber gesammelte industrielle Daten lizenzieren können.

Darüber hinaus haben die Dateninhaber, die ihre Daten einem anderen Unternehmen zur Verfügung stellen, Anspruch auf eine nicht diskriminierende und angemessene Vergütung, die auch eine Gewinnspanne beinhalten kann.

Zugang für öffentliche Einrichtungen

Das Datengesetz wird auch öffentlichen Stellen unter bestimmten Umständen den Zugang zu privat gehaltenen Daten ermöglichen. Private Unternehmen müssen personenbezogene und nicht personenbezogene Daten in Krisenfällen, wie Pandemien, weitergeben.

Die Verwendung von Daten außerhalb von Krisenfällen wurde auf Industriedaten beschränkt. Außerdem wurden die Bestimmungen für die Anforderung von Daten durch öffentliche Stellen strenger gefasst, um den Wert der Daten zu schützen und Missbrauch zu verhindern.

Anbieterwechsel innerhalb von Cloud-Märkten

Die Gesetzgebung enthält einen speziellen Teil, der den so genannten Lock-in-Effekt verhindern soll. Damit sollen Barrieren für den Wechsel von einem Anbieter zum anderen beseitigt werden.

Ein umstrittener Punkt in dieser Diskussion war der Begriff der funktionalen Gleichwertigkeit. Dieser besagt, dass der ursprüngliche Anbieter von Cloud-Diensten die gleiche Funktionalität in der neuen Umgebung beibehalten muss.

Dieses Konzept wurde dahingehend verfeinert, dass der empfangende Dienst ein „im Wesentlichen vergleichbares Ergebnis als Reaktion auf die gleichen Eingaben“ liefern sollte.

Anbietern von Cloud-Diensten ist es untersagt, Barrieren zu errichten oder zu beseitigen, die Kunden daran hindern würden, verschiedene Cloud-Dienste zu entkoppeln. Auch die Transparenzverpflichtungen wurden verschärft. So sollen die Umstellungsbedingungen und technischen Beschränkungen offengelegt werden.

Der Gesetzentwurf verpflichtet außerdem alle Parteien zur Zusammenarbeit während des gesamten Umstellungsprozesses.

Datenkoordinator als Anlaufstelle

Ein weiterer kritischer Punkt, der in der letzten Verhandlungsrunde gelöst wurde, war die politische Verwaltungsstruktur. Die EU-Länder wollten vermeiden, ein völlig neues Gremium einrichten zu müssen.

Die EU-Abgeordneten führten die Funktion des Datenkoordinators ein, der als zentrale Anlaufstelle für Unternehmen und Behörden aus anderen EU-Ländern fungieren soll.

Zeitplan der Einführung

Das Datengesetz wird 20 Monate nach seiner Einführung in Kraft treten. Neue Produkte müssen nach einem weiteren Jahr die Anforderungen an die Gestaltung erfüllen, damit Daten leicht zugänglich sind. Bestehende Verträge über Produkte aus dem Internet of Things werden nach fünf Jahren geändert.

[Bearbeitet von Nathalie Weatherald/Kjeld Neubert]