Kommentar Data Act und EU-Datenstrategie – Chance und Grenze zugleich

Von Dominic Wellington*

Der von der EU-Kommission vorgeschlagene Data Act ist ein begrüßenswerter Schritt, weil er, wie Margrethe Vestager es formulierte, Klarheit darüber schafft, wer zu welchen Bedingungen auf Daten zugreifen und sie weitergeben kann. Unklarheiten in der bisherigen Rechtslage lassen viele wertschöpfende Verwendungen von Daten nicht zu.

Anbieter zum Thema

Die EU will mit dem Data Act Datenaustausch, Datenkonsolidierung und Data Governance regulieren, damit Unternehmen wie Behörden Daten breiter nutzen können.
Die EU will mit dem Data Act Datenaustausch, Datenkonsolidierung und Data Governance regulieren, damit Unternehmen wie Behörden Daten breiter nutzen können.
(Bild: gemeinfrei / Pixabay )

Die Folge: Unternehmen können den Wert ihrer Daten nicht vollständig erschließen und verlieren Umsätze. Die EU-Kommission schätzt, dass durch die im Data Act vorgesehenen Regelungen bis zum Jahr 2028 zusätzliche Einnahmen in Höhe von 270 Milliarden Euro erwirtschaftet werden können. Was bedeutet der Data Act für die Anbieter von Lösungen für das Erfassen, Lagern, Verarbeiten, Analysieren, Übermitteln und Präsentieren von Daten?

Die bisherige Rechtslage

2018 trat die Datenschutzgrundverordnung (DSGVO) in Kraft, die das Datenschutzrecht für die EU-Mitgliedsstaaten vereinheitlichte. Bei der nationalen Umsetzung dürfen diese Konkretisierungen oder Ergänzungen vornehmen. Die EWR-Staaten übernehmen die Vorgaben der EU in der Regel. Grenzüberschreitende Geschäfte gehören in einer globalisierten Wirtschaft für die meisten Unternehmen längst zum Alltag.

Aber auch der Data Act stellt jedoch nur den Datenaustausch innerhalb der EU auf eine transparente und verlässliche Grundlage. Bei Geschäften außerhalb der EU sind weiterhin wichtige Fragen der Datenlokalisierung und -souveränität ungeklärt. Unterhalten Unternehmen Geschäftsbeziehungen zu Drittländern außerhalb des EU/EWR-Raums und transferieren sie Daten dorthin, wird es komplizierter und aufwändiger: Die DSGVO schreibt dann zusätzliche Maßnahmen zur Sicherstellung der Datensicherheit und des Schutzes der Persönlichkeitsrechte vor.

Internationaler Datenschutz ist ein komplexes Thema, denn in nahezu allen Ländern gelten umfangreiche Vorgaben zur Behandlung personenbezogener Daten.

Datensouveränität als Schutz vor Verstößen

Um das zu gewährleisten, müssen Unternehmen jederzeit kontrollieren können, wann sensible Daten Landesgrenzen überschreiten und im Besonderen den EU/EWR-Raum verlassen. Aus diesem Grund ist es wichtig, die Kontrolle der technischen Infrastruktur von der Kontrolle der Daten zu trennen. Diese Trennung der Kontrollen schützt vor unkontrollierten Datenübertragungen außerhalb der Region. Datenkontrollmechanismen müssen in Datenbanklösungen eingebaut werden, wenn sie wirksam sein sollen – eine „Nachrüstung“ ist unsicher und teuer. Besonders bei der Nutzung von Cloud-Diensten tragen Unternehmen Verantwortung für die Gewährleistung des Datenschutzes.

Laut dem von Bitkom Research und KPMG veröffentlichen Cloud-Monitor 2021 nutzen acht von zehn deutschen Unternehmen Cloud-Rechenleistung. Rechtliche Unsicherheiten erweisen sich dabei gerade für Public-Cloud-Lösungen als Wachstumsbremse: 75 Prozent der Unternehmen, die darauf noch verzichten, gaben in der Untersuchung die Sorge vor einem unberechtigten Zugriff auf sensible Unternehmensdaten als Grund dafür an.

Das Datengesetz zielt auch darauf ab, „eine nahtlose Multi-Vendor-Cloud-Umgebung zu fördern“. Die Kommission strebt an, harmonisierte, normierte Standards für die Interoperabilität von Cloud-Diensten auszuarbeiten. An dieser Anforderung arbeiten anspruchsvollere Anbieter bereits seit längerem. Das Problem dabei ist die so genannte Datenschwerkraft, die die Abhängigkeit des Nutzers vom Anbieter verstärkt. Cloud-Dienstleister sollen Nutzern künftig bei einem Umzug zu einem anderen Anbieter „funktionale Gleichwertigkeit“ bieten. Anbieter müssen deshalb über offene Standards oder APIs Kompatibilität schaffen.

Konsolidierung der Datenformate notwendig

Der Data Act soll auch den Datenaustausch zwischen Unternehmen, Unternehmen und Endnutzern sowie Unternehmen und der öffentlichen Hand regeln. Hier wird es vor allem darauf ankommen, den existierenden Wildwuchs an Datenformaten und Schnittstellen zu konsolidieren. FHIR ist ein Beispiel für einen gemeinsamen Standard im Gesundheitswesen, der angenommen wird, aber letztlich erfordert eine solche Konsolidierung auch die Standardisierung von Daten.

Wenn neue Abfragen bestehender Daten dazu führen, dass kundenspezifische Lösungen mit angepassten Schnittstellen entwickelt werden müssen, wirkt diese Komplexität als Innovationsbremse. Um am Markt zu bestehen, werden Anbieter von Datenplattformen dafür sorgen müssen, dass ihre Lösungen agil genug sind, um Anwendungsfälle mit einer einzigen Schnittstelle zu unterstützen, auch solche, die zum Zeitpunkt der Entwicklung und Einführung des Systems nicht in Betracht gezogen wurden oder gar nicht existierten.

Es bleibt viel zu tun!

Den Datenaustausch fördern soll auch der Data Governance Act (DGA), der ebenfalls Bestandteil der europäischen Datenstrategie ist und bereits vom Ausschuss für Industrie, Forschung und Energie des Europäischen Parlaments angenommen wurde. Er soll unter anderem das Vertrauen in Datenvermittlungsdienste erhöhen und dadurch den so genannten „Datenaltruismus“ verbessern, also die freiwillige Verfügbarmachung von beispielsweise Gesundheits- oder Umweltdaten für das Gemeinwohl, die bislang im Rahmen der Open-Data-Richtlinie nicht frei verfügbar sind.

Solche „Datenspenden“ erfordern eine vertrauensvolle Einwilligung der Betroffenen, wobei das Vertrauen durch die zweckfremde Nutzung von Daten durch Behörden in jüngster Zeit gelitten hat. So durften etwa Daten aus der Luca-App zur Kontakterfassung laut § 28a Abs. 4 IfSG zu keinem anderen Zweck als der Nachverfolgung von Infektionsketten abgerufen werden. Das Gesundheitsamt gab sie dennoch zum Zweck der Zeugensuche an die Staatsanwaltschaft Mainz heraus – ein Vorgang, auf den die Anbieter, die den Nutzern „Datenhoheit“ versprochen hatten, letztlich keinen Einfluss hatten, der aber trotzdem den Ruf ihres Produktes beschädigte, obwohl es dafür keine Rechtsgrundlage gab. Der Data Act schreibt bei Anfrage einer öffentlichen Stelle zur Herausgabe von Daten die Angabe der Rechtsgrundlage für das Herausgabeverlangen zwingend vor.

Worauf müssen Anbieter sich jetzt einstellen?

Mit ihrer Datenstrategie will die EU die Rechte und Pflichten von Anbietern und Dateninhabern genau definieren, die Nutzung von Daten an klare Kriterien binden und dadurch mehr Transparenz, Vertrauen und Rechtssicherheit schaffen, damit bislang unerschlossenes Daten-Wertschöpfungspotenzial gehoben werden kann. Data Act und Data Governance Act können die Datenökonomie tatsächlich langfristig transformieren.

Dominic Wellington, MongoDB.
Dominic Wellington, MongoDB.
(Bild: MongoDB)

Die angedachten Normierungen, Konsolidierungen, Standardisierungen und Vorgaben werden Produkthersteller und Lösungsanbieter, wenn sie in den vorgeschlagenen Fassungen beschlossen werden, vor die Aufgabe stellen, höheren Kompatibilitäts- und Datenhoheitsansprüchen gerecht zu werden.

* Der Autor Dominic Wellington ist Director Market Intelligence bei MongoDB.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48044935)