Das Update zur DSGVO: Der Data Act kommt!

Seit Einführung der DSGVO sind inzwischen fast sechs Jahre vergangen. Hier und da wird noch über sie geklagt, aber die meisten haben sich wohl mit ihr, wenn vielleicht auch zähneknirschend, angefreundet. Ausnahme ist natürlich Meta, der Mutterkonzern von Facebook. Die irische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 17 Millionen Euro, da „keine angemessenen technischen und organisatorischen Maßnahmen“ getroffen worden seien habe, um Daten von EU-Nutzern zu schützen. Im Vergleich zu den 225 Millionen Euro Strafe gegen WhatsApp letztes Jahr ist das nun aber ein Klacks für Meta.

Die EU steht derweil mit dem neuen „Data Act“ in den Startlöchern. Der soll zum Beispiel Dinge regeln, die zur Zeit der DSGVO noch gar nicht existierten oder kaum geläufig waren – insbesondere das Internet der Dinge: Smarte Fernseher, Kühlschränke und Autos produzieren jede Menge Daten, die die Herstellerfirmen bislang vor allem selbst abgreifen. Deshalb will die EU nun regeln, dass die Daten dem „Produzenten“, also dem Nutzer der Geräte, gehören. So soll die Privatsphäre gewahrt und z.B. Geschäftsgeheimnisse gehütet bleiben. Es soll der Grundsatz gelten: Wer ein Gerät kauft, hat auch Anspruch darauf, die Daten zu nutzen, die er damit erzeugt. Der technische Zugang zum Gerät muss also für den Nutzer vorhanden sein und die Daten müssen ihm schnell, eventuell in Echtzeit, zur Verfügung stehen können. User sollen auch anfordern können, dass die Daten so schnell wie möglich – zweckgebunden – an Dritte weitergegeben werden sollen.

All dies soll zu einer effizienteren Nutzung der gesammelten Daten führen – die EU sieht hier einen ungehobenen Datenschatz. Dank Data Act sollen sich smarte Gegenstände nach Belieben vernetzen, Serviceanbieter wechseln oder Daten aus Clouds problemlos binnen eines Monats transferieren lassen. Cloud-Dienste sollen interoperabel sein müssen. Der Kunde eines smarten Produkts soll durch Vernetzung jenseits der eigenen Bubble noch mehr von seinen smarten Geräten profitieren.

Denn bislang shoppt zum Beispiel „Alexa“ nur bei Amazon, auch wenn Produkte woanders vielleicht schneller lieferbar oder günstiger sind. Auch auf die Daten von Sprachassistenten, die ständig mitschneiden, was in einer Wohnung gesprochen wird, soll dem User Zugriff gewährt werden.

Besondere Relevanz hat der EU-Vorstoß für smarte Autos, die permanent Informationen über ihre Umgebung und ihren eigenen Betriebsstatus erfassen. Als Kunde hat man auf diese Daten bislang nur eingeschränkt oder gar keinen Zugriff – und ist so z.B. an eine feste Vertragswerkstatt gebunden, weil niemand anders die relevanten Daten auslesen kann.

Haushaltsgeräte wiederum sollen Fehlermeldungen nicht nur an den Hersteller übermitteln können, damit dieser seine Produkte verbessern kann, sondern auch an den Nutzer, damit der den Fehler selbst beheben oder schnell einen (unabhängigen) Techniker beauftragen kann. Bauern könnten anhand der Daten ihrer smarten Maschinen Aussaat und Ernte optimieren. Die Möglichkeiten sind unbegrenzt.

Damit es nun nicht zu Produktpiraterie kommt, soll es Unternehmen zum Schutz der Urheberinteressen verboten werden, die freigegebenen Daten zur Entwicklung von Konkurrenzprodukten zu nutzen. Hier knüpft der Data Act an den Digital Markets Act, der ebenfalls gerade verhandelt wird.

Dort wird der Begriff „Gatekeeper“ eingeführt, der sich auf Konzerne mit besonders großer Marktmacht und Bedeutung bezieht, also vor allem Apple, Google/Alphabet, Facebook/Meta und Amazon. Erhaltene Daten nach dem Data Act sollen nicht an diese Gatekeeper weitergegeben werden dürfen. Gewiss: Gerade diese vier wissen schon genug über uns, da brauchen sie nicht auch noch die Daten von unseren Kühlschränken und Waschmaschinen. Wussten Sie schon, was Google anhand unserer Suchanfragen alles über uns weiß? Es steht aber noch zur Debatte, ob dieser Ausschluss der „Gatekeeper“, wenn auch gut gemeint, rechtssicher ist. Der Data Act ist ja noch im Entwurfsstatus.

Apropros Rechtssicherheit: Google und Meta haben vor kurzem – zunächst – erfolgreich gegen §3a des deutschen Netzwerkdurchsetzungsgesetzes geklagt. In ihm geht es darum, dass Facebook, Instagram, TikTok & Co. Nutzerdaten an das Bundeskriminalamt weitergeben müssen, wenn diese Hate Speech, z.B. volksverhetzende Inhalte oder verbotene Symbole, verbreiten. Die Plattformen weigern sich jedoch bisher, das umzusetzen. Sie klagten vor dem Verwaltungsgericht Köln und bekamen nun teilweise und vorläufig recht.

Das Gericht beanstandete jedoch nicht inhaltlich, ob die Regelung zur Datenweitergabe an das BKA – wie von den Tech-Firmen angeführt – grundsätzlich nicht mit EU-Recht vereinbar ist. Vielmehr betonte es, dass das Prozedere der Einführung der Gesetze durch die Bundesregierung nicht den Vorgaben entsprach. Das wird hoffentlich im Hauptverfahren rechtssicher geklärt werden. Das BKA arbeitet seit Februar mangels Meldungen der Plattformen einfach in einem sogenannten „Alternativszenario“: Mangels Social-Media-Daten nimmt das BKA Meldungen von zivilgesellschaftlichen Stellen entgegen.

Nun zurück zum Data Act, der ja gerade erst Form annimmt: Im bisherigen Entwurf haben die Hersteller nur die Pflicht, die erhobenen Daten zu teilen, nicht aber das Recht, diese auch selbst auszuwerten, so wie es in der jetzigen Grauzone ja gang und gäbe ist. Der Gesetzentwurf sieht vor, dass diese Option mit dem Kunden extra vertraglich vereinbart werden soll. Die Zustimmung wird sich dann wohl in Grenzen halten…

Die Datensammler sollen die Herausgabe der Daten technisch nicht unterbinden dürfen. Dazu sollen manipulative „Dark Patterns“ verboten werden, z.B. irreführende Cookie-Banner, bei denen sicher jeder von uns schon mal – verwirrt von zu vielen Optionen, zweideutigen Formulierungen und manipulativer Farbgebung – daneben geklickt hat. Nun soll festgeschrieben werden, dass Drittanbieter „den Nutzer in keiner Weise zwingen, täuschen oder manipulieren [dürfen], indem sie die Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen, auch nicht durch eine digitale Schnittstelle zum Nutzer“.

Behörden sollen nur im Ausnahmefall auf entsprechende Daten zugreifen können. Dazu zählen Naturkatastrophen, Gesundheits-Notfälle wie Pandemien und Terroranschläge. Eindeutig ausgeschlossen wird eine Nutzung für die Strafverfolgung. Derzeit nutzt die Polizei wiederum Daten von Tesla allerdings dafür.

Auch wenn wir derzeit noch nicht Zugriff auf alle von uns produzierten Daten haben – die, die wir haben, sollten natürlich regelmäßig ausgemistet und gesichert werden. Am 31. März ist World Backup Day. Wann haben sie das letzte Mal ihre Daten gesichert? Natürlich sollte man das nicht nur ein Mal im Jahr machen. Aber vielleicht nutzen sie den Tag, um sich mal – vor dem nächsten Backup – von altem Datenmüll zu trennen und ein bisschen digital aufzuräumen? Über die Jahre sammelt sich ja so einiges an, und das kann enorme Kapazitäten fressen – und digitale Unordnung kann die Produktivität enorm hemmen. Mit weniger, aber dafür relevanteren Daten lässt sich dann auch zielsicher alles vernetzen. Wie immer gilt: Bei Fragen kommen Sie gerne auf uns zu.

Foto: Adobe Stock | dmutrojarmolinua

Weitere Artikel