Montag, 05. Dezember 2022

Der Europäische Data Act
Daten teilen als Innovationsmotor?

Nutzer so genannter smarter Geräte und Maschinen generieren Unmengen von Daten. Zugriff auf die Daten haben meist nicht die Nutzer sondern die Hersteller. Die EU will das ändern. Daten sollen häufiger geteilt, die Monopolstellung der Hersteller gebrochen werden. Doch der Vorschlag der Kommission trifft auf Kritik.

Von Peggy Fiebig | 16.05.2022

Eine Frau schaut in einem Coworking Space auf ihr Smartphone.
Wenn wir digitale Endgeräte nutzen, erzeugen wir viele kommerziell interessante Daten (picture alliance/dpa-tmn/Christin Klose)
„Um Gottes Willen haben wir viele Daten. Wir haben eine Tonne Daten und die werden völlig untergenutzt. Und da ist so viel Wert in den Daten.“
Alexander Meyer ist Herzchirurg und hat vor seinem Medizinstudium eine Informatikerausbildung absolviert. Er habe, so sagt er, einen etwas anderen – technischeren – Blick auf die Möglichkeiten der Medizin als seine Kolleginnen und Kollegen. Am Deutschen Herzzentrum Berlin forscht Meyer im Bereich der medizinischen Digitalisierung. Eines seiner Projekte: Ein System zu entwickeln, das Komplikationen nach Herzoperationen frühzeitig vorhersagen kann. Dafür braucht Meyer Daten, viele Daten, von vielen Patienten.
„Wenn man jetzt nicht im Eifer des Gefechtes ist, sondern ganz ruhig über die Daten schaut, sieht man häufig Muster viel früher. Also wirklich wie ein Fingerabdruck von einer Erkrankung oder einer Komplikation.“
So hat Meyer entdeckt, dass beispielsweise die Kombination von erhöhter Herzfrequenz und einem niedrigen Blutdruck verbunden mit anderen so genannten Markern ein Hinweis auf eine postoperative Komplikation sein kann.
„Deshalb war die Idee: Wir bräuchten eigentlich eine Echtzeitanalytik mittels einer Software, die alle Signale, alle Datensignale, die wir ständig sammeln von Patienten in Echtzeit analysiert und daraus Schlüsse zieht und dann genau warnt vor solchen sich anbahnenden Komplikationen.“
Bisher nutzt Alexander Meyer hier nur die Daten jener Patienten, die im Deutschen Herzzentrum behandelt werden. „Wenn man da jetzt natürlich eine Datenbasis von allen Patienten hat, dann könnte man auch ein Modell oder dann könnte man auch Algorithmen erstellen, die wirklich alles abdecken.“

EU plant Anreize zum Datenaustausch

Dass ein solcher Austausch von Daten, die aus Maschinen oder sonstigen Geräten stammen, künftig häufiger stattfindet, will die EU-Kommission mit einem neuen Datengesetz anstoßen – dem so genannten Data Act. Er soll einen rechtlichen Rahmen für die Nutzung und das Teilen von Daten schaffen, erläutert die für Digitales zuständige EU-Kommissarin Margrethe Vestager Ende März bei der Vorstellung des Gesetzentwurfes: „Er schafft Rechtssicherheit und zielt darauf ab, Hemmnisse für den Datenaustausch abzubauen.
Der Data Act ist Teil der so genannten Datenstrategie, die die Kommission vor zwei Jahren verabschiedet hat. Mit mehreren neuen Gesetzen soll Europas digitale Zukunft gestaltet werden, so Vestager: „Wir wollen die immensen Vorteile freisetzen, die der verantwortungsvolle Gebrauch von Daten und digitaler Technologie für jeden von uns bringen kann. Gleichzeitig wollen wir einen sicheren Gebrauch von Daten und digitaler Technologie. Ein Gebrauch, der für die Menschen funktioniert und deren Grundrechte respektiert.“
Zu dem Paket, das sich die Kommission vorgenommen hat, gehören beispielsweise der Digital Services Act und der Digital Market Act, zwei Gesetzesvorhaben über digitale Dienste beziehungsweise digitale Märkte, die insbesondere die großen Online-Plattformen regulieren sollen. Das Europäische Parlament debattiert außerdem derzeit über ein Regelwerk für Künstliche Intelligenz. Und vor wenigen Wochen haben sich die Kommission, der Rat und das Parlament auf einen Data Governance Act geeinigt, mit dem grenzüberschreitende Datenaustauschsysteme geschaffen werden. Der neue Data Act will diesen ergänzen, indem festgelegt wird, woher die auszutauschenden Daten überhaupt kommen sollen.

Daten als Wachstumstreiber

Denn, so die Auffassung der Kommission, in Europa werden Daten bei weitem noch nicht so genutzt, wie es volkwirtschaftlich sinnvoll wäre. Insbesondere die so genannten Maschinendaten seien eine wichtige Ressource für Wachstum, für Innovation, für die Schaffung von Arbeitsplätzen.

„Die Daten, an die wir dabei denken, werden dabei typischerweise von Maschinen oder technischen Geräten generiert, die mit dem Internet verbunden sind. Das kann eine Smartwatch, ein smartes Auto oder sogar Ihr Kaffeekocher sein. Oder die vielen Sensoren, die automatisch Umweltinformationen sammeln. Viele dieser Daten sind nicht personengebunden und die meisten von ihnen werden derzeit nicht genutzt. Wenn sie aber genutzt werden, können solche Daten eine Vielzahl neuer Möglichkeiten eröffnen – für neue Produkte, neue Dienstleistungen oder sie können Forschungen befördern. Damit das passiert, müssen wir aber definieren, wer die Kontrolle über solche Daten hat und wer sie für welche Zwecke nutzen kann.“

Haben Nutzer ein Anrecht auf ihre Daten?

Das sei auch eine Frage der Fairness, erläutert der Marburger Wirtschaftsprofessor Wolfgang Kerber. Vor allem zwischen den Herstellern der smarten Maschinen und Geräte und den Nutzern.
„Die Frage ist dann, ist es dann nicht auch fair, dass die Nutzer Zugang zu den Daten haben? Es sind ja eigentlich sie, die die Daten generieren. Denn die benutzen diese Geräte und von daher ist es ja so, dass sie durch die Benutzung die Daten generieren. Und von daher wird die Frage gestellt werden, wer soll die Vorteile von der Nutzung dieser Daten haben? Die haben ja einen großen Wert und die Ausnutzung hat einen großen Wert. Und wie wird dieser Wert geteilt, so dass auch andere partizipieren können?“
Denn bisher haben in der Regel allein die Hersteller der smarten Maschinen beziehungsweise Geräte die ausschließliche Hoheit über die entsprechenden Daten, erklärt Wolfgang Kerber: „Was passiert ist, dass die Hersteller sich durch die technische Ausgestaltung sich jetzt faktisch diese Daten aneignen.“
Diese faktische Monopolstellung der Gerätehersteller aber wirke sich nachteilig auf den Markt aus. „Sie sind völlig frei, ob sie jetzt Daten verkaufen, oder nicht und wenn ja, zu welchem Preis und zu welchen Bedingungen.“
Auf bestimmten Märkten lasse sich das bereits beobachten, sagt Wolfgang Kelber, zum Beispiel im Fahrzeugbereich. „Und sie können dann eben sich praktisch eine ganze Gatekeeper-Position jetzt bezüglich dieses Ökosystems vernetztes Fahren sichern und können das nach ihren eigenen Gewinnmaximierungsbedingungen ausnutzen. Und das kann eben auch ganz problematische Effekte haben, einmal in Bezug auf die Nutzung der Daten selber, nämlich dass die nicht genügend genutzt werden. Zweitens in Bezug auf den Wettbewerb. Das ist natürlich vor allem der Wettbewerb bezüglich von Reparatur und Wartungsdienstleistungen und anderen Dienstleistungen. Es gibt ja ganz neue innovative Dienstleistungen, die man den Autoinsassen anbieten kann, die es vorher gar nicht gegeben hat. Und da gibt es viele kleine Unternehmen, die möchten da jetzt was anbieten, aber dazu brauchen die dann oft auch Zugang zu diesen Daten.“

Großteil der Industriedaten bleibt ungenutzt

Bisher bleiben nach Angaben der EU-Kommission 80 Prozent der Industriedaten ungenutzt. Obwohl die Menge der generierten Daten kontinuierlich ansteigt. Wurden 2018 noch 33 Zettabyte erzeugt, werden es 2025 voraussichtlich schon 175 Zettabyte sein, so die Kommission. Dabei entspricht 1 Zettabyte zehn hoch 21 Byte. Der Branchenverband Bitkom hat kürzlich in einer repräsentativen Untersuchung Unternehmen zum Thema Datenteilen befragt. Knapp zwei Drittel teilten danach überhaupt keine Daten mit anderen Unternehmen, jeweils gut zwanzig Prozent der Befragten gaben an, entweder nur Daten anzubieten oder nur Daten zu empfangen. Lediglich acht Prozent sagten, sie würden sowohl Daten von anderen Unternehmen bekommen als auch selbst Daten weitergeben.
David Schönwerth von Bitkom: „Wir sehen im Grunde zwei Gruppen unter Unternehmen: Es gibt eine Gruppe, die haben den Sinn des Datenteilens verstanden und es gibt eine Gruppe, die haben das noch nicht verstanden und die zögern noch. Und es geht jetzt darum, denen die noch zögern, besser zu erklären, dass sie mit Daten auch Mehrwerte generieren können, für sich und andere.“
Es gebe aber auch Gründe, warum Unternehmen auf ihren Datenschätzen sitzen bleiben, sagt Daniel Schönwerth: „Ein großes Problem heutzutage ist die Kompatibilität von Daten. Das heißt, wenn Daten ausgetauscht werden, dass die dann auch an anderer Stelle nutzbar sind. Und dass das nicht zu viel Arbeit ist. Eine andere Schwierigkeit ist auch das Finden von Partnern. Dritter Punkt ist das rechtliche Risiko, das mit Datenteilen einhergehen kann heutzutage. Viele Regelungen, die wir haben, sind recht kompliziert, da gibt es beispielsweise die Datenschutzgrundverordnung, die wir an sich begrüßen, aber natürlich ist dann die Krux, inwiefern kann ich die auch umsetzen, inwiefern kann ich mich da rechtskonform verhalten?“

Die EU will die Rechte der Nutzer stärken

Deshalb will die EU-Kommission einen verlässlicheren Rechtsrahmen für das Datenteilen schaffen und zwar so, dass auch der Datenmarkt stärker belebt wird. Kern der geplanten Neuregelung: Die Position der Nutzer – egal ob es sich dabei um Verbraucher oder Unternehmen handelt – soll deutlich gestärkt werden. Sie sollen künftig darüber entscheiden, wofür die durch sie generierten Daten genutzt werden dürfen. Und sie sollen verlangen können, dass die Daten an sie selbst oder einen Dritten herausgegeben werden, beispielsweise an ein Start-up, das weitergehende Wartungs- oder Dienstleistungen anbietet. Für die Geräte- und Maschinenhersteller bedeutet das: Sie sind dann verpflichtet, Daten herauszugeben beziehungsweise mit anderen zu teilen, wenn es der Nutzer will.
„Das ist tatsächlich sehr innovativ, was die Kommission hier machen möchte", meint Zohar Efroni, der am Berliner Weizenbaum-Institut, einem vom Bundesforschungsministerium geförderten Verbundprojekt, zu den Rahmenbedingungen für Datenmärkte forscht. Allerdings: „Es ist eine sehr schwierige Frage, zu beantworten, wie die Gesamtauswirkung der Neuregelung auf den Markt sein wird.“
Im Wesentlichen werde es darauf ankommen, wie sich die Nutzer verhalten werden, wie sie ihre Rechte tatsächlich ausüben, sagt Efroni. „Man redet hier von Data literacy, also dass Menschen verstehen, was eigentlich passiert, wenn Sie ein Smartgerät benutzen. Also: Welche Daten werden generiert, wer bekommt diese Daten und welchen Wert haben potentiell diese Daten, wie können Sie als Nutzer von diesen Daten profitieren?“
Zwar sieht hier der Data Act umfangreiche Informationspflichten für die Hersteller der Geräte vor. Efroni befürchtet jedoch, dass das nicht bei den Nutzern ankommt. Zumindest nicht, wenn es sich um Verbraucher handelt.
„Die Nutzer wollen in erster Linie das Gerät nutzen. Sie werden meines Erachtens erstmal nicht so stark beeinflusst durch diese neue Regelung.“ Anders sieht es Efroni zufolge in Bereichen aus, wo die Gerätehersteller die Daten jetzt mit anderen Unternehmen teilen müssen, sich vielleicht sogar neue Dienstleister etablieren, die beispielsweise diesen Austausch professionalisieren. „Da werden wir sehr viel Bewegung sehen, sehr viele Änderungen, Anpassungen und vielleicht auch neue Geschäftsmodelle. Und das ist das, was die Kommission hofft.“

Brauchen Unternehmen stärkere Zugriffsansprüche?

Ob diese Erwartungen der Kommission sich tatsächlich erfüllen? – der Marburger Ökonom Wolfgang Kerber ist skeptisch:
„Das Problem ist, dass es eigentlich ein sehr schwacher Mechanismus ist, weil es ja immer über die einzelnen Nutzer gehen muss. Also, wenn Unternehmen tatsächlich neue Services generieren wollen jetzt für ein bestimmtes IT-Gerät oder für diese vorausschauende Wartung, also predicitve maintenance, dann ist es ja so, dass die ja große Datensätze brauchen, das heißt die Erfahrungen mit den Geräten von vielen Nutzern. Und mir ist ehrlich gesagt nicht klar, wie ich durch ein solches Nutzerrecht, das ja immer nur auf den individuellen Nutzer abstellt, wie jetzt Unternehmen hier größere Datenmengen sammeln können, um dann hier beispielsweise hier einen Service wie predictive maintenance anbieten zu können. Da müssen sie ja ganz viele Nutzer gewissermaßen überreden, hier tatsächlich Daten zu teilen und das ist natürlich auch mit hohen Transaktionskosten verknüpft. Und die Frage ist, was sind die Anreize das zu tun?“
Für den Wirtschaftsprofessor wäre es aus ökonomischer Sicht sinnvoller gewesen, wenn der Zugriff auf Daten nicht vom einzelnen Nutzer abhängen würde.
„Man könnte das ja so ausgestalten, dass Unternehmen direkte Zugangsansprüche haben zu solchen Datensätzen, um jetzt die Algorithmen zu trainieren und damit KI-Anwendungen zu machen, ohne dass man jetzt über die individuellen Nutzer gehen muss. Das ist ein sehr aufwändiges Verfahren, was mit hohen Kosten verknüpft ist, und deswegen bin ich da skeptisch, ob das tatsächlich profitabel ist für Unternehmen, solche Innovationen dann zu machen.“

Aktivisten vermissen Aspekte zu open-data

Auch Tom Jennissen von der Digitalen Gesellschaft, einem Verein, der sich seit über zehn Jahren für Grundrechte und Verbraucherschutz im digitalen Raum einsetzt, sieht den Vorschlag der Kommission kritisch – allerdings aus einem anderen Grund. Für ihn stehen die wirtschaftlichen Vorteile der Unternehmen zu sehr im Vordergrund der geplanten Neuregelung. Er hätte sich einen umfassenderen Ansatz gewünscht. Es sei nicht, so Jennissen, „...der erhoffte, versprochene große Wurf. Weitergehende Vorschläge oder Ideen hin zu einer stärkeren open-data-Kultur finden sich tatsächlich im Data Act jetzt auf jedenfall nicht.“
Damit würden große Chancen vergeben, beklagt der Netzaktivist. „Zum Beispiel durch das Zurverfügungstellen von aggregierten Daten, größeren Datensätzen, die nicht nur zu wirtschaftlichen Zwecken, sondern auch zu Zwecken des Gemeinwohls genutzt werden können, wäre es möglich gewesen, durch öffentliche Institutionen, durch Non-Profit-Akteure, wäre es durchaus möglich gewesen, dass tatsächlich dieser große Schatz, den es ja gibt an Daten, die genutzt werden könnten, auch tatsächlich auch gemeinwohlorientiert einzusetzen.“
Unter bestimmten Umständen haben allerdings auch öffentliche Stellen einen Anspruch Zugang zu Daten zu bekommen: Wenn es nämlich eine "außergewöhnliche Notwendigkeit der Datennutzung" gibt. Die soll allerdings auch schon bestehen, wenn "aufgrund des Fehlens verfügbarer Daten die öffentliche Stelle gehindert ist, gesetzlich ausdrücklich vorgesehene Aufgaben im öffentlichen Interesse zu erfüllen". Das geht sowohl dem Verein Digitale Gesellschaft als auch der Bitkom viel zu weit. Denn "gesetzlich vorgesehene Aufgabenerfüllung" könne vieles bedeuten, die Behörden würden damit in sehr vielen Bereichen die Möglichkeit bekommen, große Mengen maschinengenerierter Daten von Unternehmen anzufordern. Samt etwaiger Geschäftsgeheimnisse und auch ohne die Einwilligung derer, die die Geräte nutzen und so die Daten generieren, so die Befürchtung.

Datenschutz bleibt eine Hürde

Auch der Konflikt mit dem Datenschutz werde durch den Data Act nicht wirklich gelöst, sagt David Schönwerth vom Internetverband Bitkom. Denn weiterhin gilt die Datenschutzgrundversorgung, wenn personenbezogene Daten geteilt werden sollen. Die bisherigen Schwierigkeiten im Umgang mit Daten blieben deshalb bestehen.
„Die Idee des Data Actes ist, dass er um die Datenschutzgrundverordnung herum ein weiteres Gesetz entwirft. Natürlich ist aber die Abgrenzung alles andere als leicht. Wenn Daten eindeutig personenbezogen sind, dann gilt die DSGVO. Wenn sie es nicht sind, dann gilt die DSGVO nicht. Aber dieser Zwischenbereich, der ist sehr interessant.“
Das Problem: Hier treffen zwei grundsätzlich gegensätzlich ausgerichtete Regimes aufeinander: Der Data Act will die Verbreitung von Daten fördern, Datenschutzregeln zielen dagegen auf eine Begrenzung des Datenverkehrs bzw. -transfers ab. Konflikte sind vorprogrammiert. Und selbst wenn im konkreten Fall geklärt ist, dass bestimmte Daten nicht in den Anwendungsbereich der DSGVO fallen: Es gibt Graubereiche, erläutert der Bundesdatenschutzbeauftragte Ulrich Kelber:
„Wir werden in ganz vielen Fällen unmittelbare Mischbestände haben. Aber wir werden auch die Situation haben, dass bestimmte Daten, die auf den ersten Blick nicht personen- sondern vielleicht maschinengebunden sind, in Wirklichkeit aber etwas aussagen über Personen.“
Zum Beispiel ein vernetztes Auto:
„Mag ja sein, dass bestimme Daten dann mit einer Fahrgestell-Nummer verbunden sind: Das Auto hat soundso-oft gebremst, soundso-viele Gurtstraffungen hat es gegeben oder soundso-viel Zeit ist es auf der Autobahn oder auf der Landstraße gefahren. Naja, aber wenn das passiert, was heute in der Regel passiert, dass zu 90 Prozent der Zeit eine Fahrgestell-Nummer von einer Person verwendet wird, und vielleicht noch jemand anderes noch die Verbindung darüber schnell herstellen kann, dass die Bewegungen von dem Gerät einer Person sehr oft identisch sind, dann sind das personenbezogene Daten und keine nichtpersonenbezogenen Daten. Da sind manche dann doch wegen des Interesses der verstärkten Datennutzung absichtlich oder unabsichtlich blauäugig unterwegs.“
Datenschützer Kelber begleitet deshalb, wie auch seine Kollegen aus den anderen Mitgliedstaaten, sehr aufmerksam den weiteren Verlauf der Gesetzesberatungen. In einer vor wenigen Tagen veröffentlichten Stellungnahme fordern die europäischen Datenschutzbeauftragten bessere Sicherungsmechanismen für die Datenschutzrechte von Bürgern und Unternehmen.
Auch für Sergey Lagodinsky, Grünen-Abgeordneter im Europäischen Parlament, ist es wichtig, dass die Datenschutz- und Verbraucherrechte nicht unter die Räder kommen. Dafür will er in den anstehenden parlamentarischen Beratungen Sorge tragen.
„Ich als Vertreter im Innenausschuss oder im Rechtsausschuss achte ganz besonders darauf, dass diese Digitaltechnologien klar Innovationen und auch Wirtschaftswachstum erlauben, das ist ja auch legitim, aber zugleich menschen- und gebraucherzentriert bleiben. Und dass wir nicht vergessen, dass wir Datenschutz und Grundrechte selbstverständlich auch haben im digitalen Bereich.“
Die parlamentarischen Beratungen über den Data Act werden voraussichtlich im Herbst beginnen. Wenn sich die Abgeordneten auf eine gemeinsame Position geeinigt haben, beginnen die Verhandlungen mit den Mitgliedstaaten. Wann mit einem endgültigen Ergebnis zu rechnen ist und wann der Data Act tatsächlich in Kraft tritt, ist offen.