Eine Frau in Engelskostüm in den Farben der EU
Der Data Act soll Unternehmen und Forschende in der EU beflügeln.
imago/IPON

In der Nacht auf Mittwoch haben sich die EU-Länder und das EU-Parlament auf den ambitionierten wie umstrittenen Data Act geeinigt. Das EU-Datengesetz soll Personen und Firmen mehr Kontrolle über die Daten geben, die sie mit ihren Geräten erstellen, das reicht vom Smartphone bis zum Industrieroboter. Während man in Brüssel besonders auf "faire Verträge zwischen Verbrauchern und Herstellern" pocht, stößt der Data Act erwartungsgemäß auch auf Kritik.

Frage: Was will die EU mit dem Data Act bezwecken?

Antwort: Vereinfacht formuliert soll das Datengesetz Regeln für den Austausch und die gemeinsame Nutzung von nicht personenbezogenen Daten festlegen. Das betrifft die Verwendung vernetzter Produkte oder damit verbundener Dienste im Internet der Dinge (IoT). Die EU erhofft sich dadurch aber nicht nur ein faires Vertragswerk für alle involvierten Geschäftspartner. Auch vor dem Hintergrund des gegenwärtigen KI-Hypes, der auf große Datenmengen angewiesen ist, erwartet man großes Entwicklungspotenzial für die Datenwirtschaft. Unternehmen in allen Bereichen der Wertschöpfungskette sollen die gleiche Chance bekommen, Vorteile daraus zu ziehen und nicht zuletzt dazu beizutragen, die EU als führenden Standort für digitale Wirtschaft zu positionieren.

Der Hintergrund dieser Überlegungen liegt unter anderem darin, dass Daten als "nicht rivalisierendes Gut" betrachtet werden. Das bedeutet, dass sie, wenn sie geteilt werden, nicht abnehmen. Theoretisch können also mehrere Parteien gleichzeitig auf die Daten zugreifen, und sie können wiederholt genutzt werden, ohne dass die Datenqualität beeinträchtigt wird. Was logisch erscheint, halten viele Unternehmen in der Praxis jedoch zurück. Sie teilen ihre Datensätze weder mit ihren eigenen Kunden noch mit anderen Unternehmen. Genau das soll der Data Act ändern.

Frage: Welche Vorteile hat das im Alltag von Verbraucherinnen und Verbrauchern?

Antwort: Der Data Act soll Privatpersonen mehr Kontrolle über ihre Daten geben, indem er das Recht auf Datenübertragbarkeit stärkt und das Kopieren oder Übertragen von Daten aus verschiedenen Diensten erleichtert. Das könnte beispielsweise bedeuten, dass Auto- oder Maschinenbesitzer beschließen könnten, Daten mit einer Werkstatt zu teilen, die nicht offizieller Partnerbetrieb des jeweiligen Herstellers sind. Solche von mehreren Nutzern gesammelten Daten könnten nicht nur zu einer Marktöffnung beitragen, sondern digitale Dienste verbessern oder überhaupt neu entwickeln.

Die neuen Regulierungen haben zudem das Ziel, es Kunden einfacher zu machen, zwischen verschiedenen Anbietern von Cloud-Datenverarbeitungsdiensten zu wechseln und Maßnahmen einzuführen, um unerlaubte Datenübertragungen zu verhindern. Dieser Passus ist insbesondere an Anbieter wie Amazon Web Services (AWS), Microsoft oder Google adressiert. 

Frage: Und wer soll sonst noch vom Data Act profitieren?

Antwort: Wie am Beispiel oben ersichtlich, ist es auch für kleine und mittelgroße Unternehmen von enormem Vorteil, wenn große Hersteller die Weitergabe der Daten nicht mehr verweigern dürfen. Durch das Datengesetz sollen sie besser vor ungerechten Bedingungen geschützt werden, die sich aus den ungleichen Verhandlungspositionen ergeben. Die EU-Kommission will in diesem Zusammenhang standardisierte Vertragsklauseln entwickeln, um faire Vereinbarungen zur gemeinsamen Nutzung von Daten ausarbeiten und aushandeln zu können.

Darüber hinaus zielt der Data Act auch darauf ab, den Wert von Daten privater Unternehmen in außergewöhnlichen Situationen von großem öffentlichem Interesse zu nutzen, wie beispielsweise Überschwemmungen oder Waldbränden. Derzeit sind die Zugriffsmechanismen des öffentlichen Sektors in solchen Notfallsituationen ineffizient oder nicht vorhanden. Im Falle eines öffentlichen Notfalls müssen die relevanten Daten kostenlos bereitgestellt werden. In bestimmten Fällen kann der Eigentümer der Daten auch eine Entschädigung verlangen.

Frage: Welche Kritik muss sich der Data Act gefallen lassen?

Antwort: Erwartungsgemäß stößt der Data Act nicht auf uneingeschränkte Zustimmung. So befürchten Vertreter der IT-Industrie und Internetwirtschaft, dass der Data Act in seiner aktuellen Form für Unternehmen eher einen erhöhten Bürokratieaufwand mit sich bringe als echte Vorteile. Darüber hinaus gebe es im Detail noch etliche Stolpersteine, beispielsweise zu starre Fristen beim Wechsel zwischen Cloud-Anbietern oder aber auch eine unzureichende Differenzierung der Geschäftsbeziehungen der Vertragspartner.

Der Lobby-Verband Information Technology Industrie Council (ITI) ist zudem der weit gefasste Anwendungsbereich in der aktuellen Fassung des Gesetzes ein Dorn im Auge. Der Bundesverband der Deutschen Industrie monierte die Gleichbehandlung aller smarten Geräte "vom Heizungsthermostat bis zum Flugzeug". Dadurch bestehe die Gefahr, dass weder Hersteller noch potenzielle Nutzer vom Data Act profitieren würden.

Auf Nachfrage des STANDARD zeigt man sich auch bei Siemens enttäuscht, das Unternehmen galt zuvor schon als ausgewiesener Kritiker des Data Act. In einer offiziellen Stellungnahme heißt es: "Wir bedauern, dass Warnungen aus großen Teilen der Wirtschaft, sich mehr Zeit zu nehmen, um das Gesetz praktikabler und innovationsfreundlicher zu machen, ignoriert wurden. (...) Wir wünschen uns von den zuständigen Behörden, die erforderlichen Leitlinien für eine praktikable Umsetzung des Data Act der EU zeitnah zu erarbeiten."

Frage: Müssen Unternehmen jetzt das Offenlegen ihrer Geschäftsgeheimnisse fürchten?

Antwort: Ein kontroverser Bereich des Data Act betrifft auch die potenzielle erzwungene Offenlegung von Geschäftsgeheimnissen, wenn Nutzer ihre von Geräten und Programmen generierten Daten an Dritte weitergeben. Dies führte zu öffentlicher Kritik von Unternehmen wie SAP oder Siemens. Als Reaktion darauf wurde dem Gesetz ein Abschnitt hinzugefügt, der den Herstellern von Geräten ermöglicht, die Herausgabe der Daten zu verweigern, wenn außergewöhnliche Umstände vorliegen, die "ernsthafte und irreversible wirtschaftliche Schäden" verursachen könnten. Dieser Passus bereitet Damian Boeselager, einem Abgeordneten der Grünen-Fraktion im Europäischen Parlament, aber weiterhin Kopfschmerzen. Er betont jedoch, dass nationale Behörden solche einseitigen Entscheidungen zeitnah überprüfen und aufheben können.

Frage: Wie geht es jetzt weiter?

Antwort: Nach den Trilog-Verhandlungen zwischen dem Parlament, der EU-Kommission und den Mitgliedsstaaten könnte das Gesetzgebungsverfahren voraussichtlich Ende 2023 abgeschlossen sein und in ein Gesetz münden. Wenn der Data Act beschlossen wird, ist mit einer Umsetzung bis Ende 2024 zu rechnen. Sobald die EU das Gesetz verabschiedet hat, müssen die einzelnen Mitgliedsstaaten es in ihren eigenen Rechtsordnungen durchsetzen. (bbr, 28.6.2023)