Das Erheben, Speichern und Verknüpfen von Daten ist zu einer ökonomischen Ressource geworden. Daten bergen ein großes Potenzial: Produkte können verbessert, Produktionsprozesse effektiviert und innovative datengetriebene Geschäftsmodelle entwickelt werden. Zudem ermöglichen sie eine faktengestützte Politik und damit schnellere Entscheidungen und bessere Dienstleistungen. Dieses Potenzial wird jedoch in der EU viel zu wenig ausgeschöpft, weil Daten bislang nur begrenzt ausgetauscht und weiterverwendet werden. Dabei wäre genau das für die europäische Souveränität so wichtig.
Denn die EU-Datenwirtschaft hinkt jenen der USA und Chinas seit Jahren hinterher, die über ihre riesigen Internetplattformen wie Google und Co. fleißig Nutzerdaten sammeln und kommerzialisieren. Die EU hat jedoch noch eine zweite Chance: Maschinendaten und Daten aus anderen Anwendungen des Internets der Dinge wie vernetzten Autos oder intelligenten Haushaltsgeräte. Das Problem daran: Viele dieser Daten liegen in den Händen weniger Unternehmen, die alleinigen Zugriff darauf haben. Der Data Act soll dies ändern und die europäische Datenwirtschaft ankurbeln. Neben Unternehmen soll aber auch der Staat von den privaten Daten profitieren.
Datenteilungspflicht ist möglicherweise unverhältnismäßig
Ein erster Entwurf der Kommission ist inzwischen durchgesickert. Danach soll der Data Act besonders den Zugang zu Daten erleichtern, die vernetzte Haushaltsgeräte, Maschinen und Autos sammeln. Deren Hersteller sollen verpflichtet werden, privaten und geschäftlichen Nutzern solcher „intelligenten“ Objekte auf Anfrage die bei der Nutzung des Objekts erzeugten Daten zur Verfügung zu stellen und die Objekte auch entsprechend zu designen. Ob der Eingriff in die Vertragsfreiheit der Hersteller durch diese generelle Datenteilungspflicht verhältnismäßig ist, muss genau geprüft werden – hier stellen sich schwierige Abwägungsfragen. Da durch diese Pflicht die Anreize für Hersteller vernetzter Objekte sinken, in die Objekte und die Generierung hochwertiger Daten zu investieren, könnte es sachgerecht sein, dass die Kommission diese negativen Effekte zumindest abmildert.
Kontrolle muss verstärkt werden
Um die Datenwirtschaft zu fördern, müssen aber vor allem das Vertrauen in den Datenaustausch gestärkt und Sorgen vor unautorisierten Zugriffen auf die Daten beseitigt werden. Weil die Nutzer die Daten an andere Unternehmen weitergeben dürfen, sind ggf. enthaltene Geschäftsgeheimnisse in Gefahr. Um diese zu schützen, muss der Hersteller aber selbst tätig werden und mit dem Nutzer angemessene Schutzmaßnahmen vereinbaren. Um Missbrauch zu verhindern, sieht der Entwurf des Data Act zudem zwar zahlreiche Nutzungsbeschränkungen für Weiterverwender vor, etwa das Verbot, die Daten für andere Zwecke oder für die Entwicklung von Konkurrenzprodukten zu nutzen. Wie deren Einhaltung kontrolliert, nachgewiesen und durchgesetzt werden soll, bleibt aber völlig offen, da es den Herstellern an hinreichenden Kontrollmöglichkeiten fehlt.
Umgekehrt sind Dritte, die die Daten nutzen wollen, auf eine gute Datenqualität angewiesen. Teilungspflichten könnten Anreize für die Erzeugung hochwertiger Daten senken, so dass Regelungen zur (mangelnden) Datenqualität und Haftung an Bedeutung gewinnen – doch hierzu schweigt der Entwurf des Data Act. Kritisch zu sehen ist zudem, dass die rechtliche Durchsetzung in keiner Weise harmonisiert werden soll. Auch hier sind Abweichungen zwischen den Mitgliedstaaten vorprogrammiert.
B2G-Datenteilungspflicht schießt über Ziel hinaus
Die im aktuellen Entwurf des Data Act vorgesehene Pflicht für Unternehmen, Daten mit dem Staat zu teilen, greift erheblich in deren grundrechtlich geschützte Freiheit ein. Dies umso mehr, als Unternehmen – falls unbedingt erforderlich – sogar Geschäftsgeheimnisse offenlegen müssen. Deshalb ist es sachgerecht, dass die Kommission Datenteilungspflichten erstens auf „Ausnahmesituationen“ und zweitens auf Fälle beschränken will, in denen öffentliche Stellen sich die Daten nicht anderweitig beschaffen können.
Dass der Staat in akuten Krisenfällen wie der aktuellen Pandemie Daten anfordern können soll, um die richtigen Entscheidungen zu treffen, klingt zunächst nachvollziehbar. Dass er aber darüber hinaus auch berechtigt werden soll, Daten anzufordern, wenn er ohne diese rechtliche Pflichten nicht erfüllen kann, ist als Zweck zu vage. Das EU-Recht verlangt, dass die zulässigen Zwecke, zu denen der Staat Daten anfordern und nutzen darf, hinreichend klar geregelt werden müssen. Unklar ist aber, wann dem Staat die Erfüllung einer Pflicht ohne die angeforderten Daten „unmöglich“ ist – was wohl keine Anforderung der Daten zur bloßen Verbesserung einer öffentliche Dienstleistung abdeckt. Wann – außerhalb von Krisen – ein „außergewöhnlicher Bedarf“ besteht, der es dem Staat erlauben soll, Daten anzufordern, muss daher näher präzisiert werden, damit die staatlichen Anfragen in der Praxis wirklich auf „Ausnahmefälle“ begrenzt bleiben. Offen bleibt auch, welche Anforderungen an die Begründung des „außergewöhnlichen Bedarfs“ durch die öffentliche Stelle im Ersuchen zu stellen sind, damit es nicht zu Missbräuchen kommt. Denn die Erforderlichkeit der Bereitstellung der angeforderten Daten dürfte für die Unternehmen ebenfalls kaum nachprüfbar sein.
Das Potenzial der Daten sollte aber auch weitergehend nutzbar gemacht werden: Damit der Staat die Unternehmensdaten auch nutzen kann, um öffentliche Dienstleistungen und politische Entscheidungen zu optimieren, sollte der Data Act auch den freiwilligen Austausch von Daten zwischen Unternehmen und dem öffentlichen Sektor stärken – Regelungen hierzu fehlen bislang im Entwurf leider völlig. Auch die Haftung des Staates für Pflichtverletzungen oder des bereitstellenden Unternehmens für die Richtigkeit und Qualität der Daten wird nicht geklärt – eine Frage, die auch für das Vertrauen in die Datenweitergabe an den Staat elementar ist.
Weitere Hindernisse müssen beseitigt werden
Über die konkreten Regelungen im Data Act hinaus müssen aber dringend weitere wirtschaftliche, technische und rechtliche Hindernisse für die Datenwirtschaft beseitigt werden – von dem bei vielen Unternehmen vorherrschenden mangelnden Bewusstsein über den Nutzen eines Datenaustauschs über rechtliche Grauzonen bis hin zu technischen Problemen. Es ist daher zu begrüßen, dass die Kommission die Interoperabilität verbessern will – wie wichtig diese Fragen sind, unterstreicht die Tatsache, dass die Kommission diesen Fragen sogar ein eigenes Kapitel im Data Act widmen will.
Zudem muss der Data Act rechtssicher mit anderen EU-Rechtsakten wie dem Data Governance Act und der Datenschutzgrundverordnung abgestimmt werden. Insgesamt muss noch mehr Klarheit geschaffen werden, wie Daten trotz geänderten Nutzungszwecks DSGVO-konform weitergenutzt werden können. Damit Datensätze geteilt werden können, die personenbezogene Informationen enthalten, wären zudem Standards hilfreich, bei deren Einhaltung ein hinreichender Anonymisierungsgrad vermutet wird.
Mit dem Data Act steht die Kommission vor einer schwierigen Aufgabe: Nutzungsrechte an Daten müssen angemessen verteilt, Geschäftsgeheimnisse geschützt und Missbrauch verhindert werden. Wichtige Fragen dürfen nicht ausgeklammert, Hindernisse müssen abgebaut werden. Gelingt all dies nicht, droht eines der wichtigsten Datengesetze Europas sein Ziel, zum Beschleuniger der Digitalisierung zu werden, zu verfehlen.
Anja Hoffmann ist Rechtsanwältin und Wissenschaftliche Referentin am Centrum für Europäische Politik ‒ Stiftung Ordnungspolitik (CEP). Ihr Beitrag ist als „Input“ an dieser Stelle erschienen.