Der Data Act lässt vieles unklar
Bericht von den Vorträgen und Diskussionen
WORUM GEHT ES?
Die EU-Kommission hat im Februar 2022 mit dem Data Act einen Gesetzentwurf (Download als PDF) vorgelegt, der für Unternehmen, Verbraucher und Behörden den Austausch und die Nutzung von Unternehmensdaten verbessern bzw. ermöglichen soll. Nur für kleine Firmen sind Ausnahmen vorgesehen. Der Data Act ist Teil des Gesetzespakets der EU-Digitalstrategie. Eine Zusammenfassung des Entwurfs finden Sie hier.
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der Deutsche Industrie- und Handelskammertag (DIHK) und die Stiftung Datenschutz haben mit ihrer gemeinsamen Veranstaltung „Data Act: Was kommt auf die Wirtschaft zu?“ am 5.9.2022 insbesondere die Datenschutzaspekte des Gesetzes beleuchtet. Zahlreiche Sprecherinnen und Sprecher verschiedener staatlicher und wirtschaftlicher Organisationen nahmen dazu Stellung.
Einleitend erinnerte Professor Dr. Stephan Wernicke, Chefjustiziar des DIHK, an das ambitionierte und auch die Interpretation leitende Ziel der Datenstrategie der EU: „Die EU soll an die Spitze einer datengetriebenen Gesellschaft und Wirtschaft gebracht werden.“ Die vier im Rahmen der Strategie geplanten Gesetzeswerke sorgen in der Datenwirtschaft aber für reichlich Diskussionsstoff. Hier den Überblick zu behalten ist auch für Experten herausfordernd. „Es ist verwirrend, denn wir haben selbst für Juristen eine solche Anzahl von unterschiedlichen Regelungen, dass man immer wieder erstaunt sein kann“, räumte der Europarechtsprofessor ein. Er skizzierte die Zwecke des Data Acts: „Ziel ist ein gemeinsamer rechtlicher Rahmen für das Nutzen und Teilen von Daten. Entlang der Wertschöpfungskette sollen Daten besser genutzt werden bzw. die Nutzung erst ermöglicht werden. Kurz: Es geht also um das faire Teilen.“ Ein Großteil der Wirtschaft sei betroffen und noch nicht ausreichend sensibilisiert. Dabei werde der Data Act die bisherige Praxis, wie Daten genutzt und geteilt werden, tiefgreifend verändern. Damit betreffe er die Geschäftsmodelle vieler Unternehmen.
Der Entwurf beschreibt das Verhältnis zur Datenschutz-Grundverordnung (DSGVO) in knappen Worten: „Die Regulierungen der DSGVO bleiben unberührt vom Data Act.“ Wernicke hält das für unzureichend. „Wir müssen Lehren ziehen aus den Schwierigkeiten der Anwendung der DSGVO. Lassen Sie uns gemeinsam Wege finden, den Gesetzestext noch zu verbessern! Wir werden uns insbesondere dafür einsetzen, dass die Anliegen der KMU vertreten werden und dass Rechtssicherheit, Rechtsklarheit und Praxistauglichkeit gewahrt werden mit diesem Entwurf.“ Anderenfalls würde der Data Act Innovationsfähigkeit behindern, wie sich zum Beispiel bei Smart Metern zeige: „Wie gehen wir damit um? Sind es personengebundene oder maschinelle Daten? Lassen sie sich verbinden? Wir wissen, dass Datenschutzbeauftragte von Fachaufsichtsbehörden und Finanzämtern diese Frage unterschiedlich behandeln.“ Er forderte Klarheit, ob und wie die DSGVO Anwendung finde. Gerade nach den Erfahrungen mit der DSGVO müsse Rechtssicherheit zwingend bereits im Gesetzestext hergestellt werden und nicht erst durch sich über viele Jahre hinziehende Auslegungen der Aufsichtsbehörden oder Gerichtsentscheidungen.
Klare Gesetze gefordert
Auch Dr. Christoph Bausewein, Rechtsanwalt und Vorstandsmitglied des BvD, betonte, wie wichtig die Verständlichkeit des Verordnungstexts sei: „Wir brauchen anwendbare, auslegbare Gesetze, die nicht, wie wir es in der DSGVO erleben, von den Aufsichtsbehörden ausgelegt werden müssen, sondern wo sich die Rechtsanwender zurechtfinden.“ Des Weiteren sei es wie bei den anderen großen digitalen Regulierungen wichtig, Zielkonflikte zu vermeiden. „Jetzt ist noch das Bekenntnis da, dass die DSGVO uneingeschränkt gelten und den Maßstab bilden soll. Schwierig wird es für Datenschutzbeauftragte, wenn es um die Auslegung geht. Was ist dann von der Datenverarbeitung noch zulässig?“
Umgang mit dem Thema Business to Government
In die gleiche Richtung argumentierte Benjamin Brake, Leiter der neu geschaffenen Abteilung „Digital- und Datenpolitik“ im Bundesministerium für Digitales und Verkehr. Der Data Act liege mit den politischen Prioritäten der Bundesregierung und insbesondere des Digitalministeriums auf einer Linie, nämlich mehr und bessere Daten zur Verfügung zu stellen. „Wir wollen, dass wir in eine Data Sharing Economy aufbrechen. Wir begrüßen grundsätzlich die Zielrichtung des Data Act. Aber der Teufel liegt im Detail“, sagte Brake. Die Abgrenzung zur DSGVO sei problematisch. „Wir wollen eine konsequente Trennung von DSGVO und Data Act sehen. Wir wollen nicht, dass datenschutzrechtliche Fragen in den Data Act hineingetragen werden, und wir wollen schon gar nicht eine Verschärfung der datenschutzrechtlichen Regeln auf europäischer Ebene. Ich weiß, das ist deutlich einfacher gesagt als getan.“
Als zweite wichtige Frage nannte Brake den Umgang mit dem Thema Business to Government, das heißt unter welchen Bedingungen Unternehmen Daten dem Staat oder für staatliche Nachfragen zur Verfügung stellen müssen. „Was wir nicht möchten, ist eine übermäßige bürokratische Belastung der Unternehmen. Und wenn die Regelungen so kommen, wie sie momentan diskutiert werden, nämlich dass sowohl der Anlass unklar ist als auch die Frage, welche Daten gemeint sind bei Business to Government, dann ist das eine Unklarheit, die für Unternehmen relativ schwer ist, insbesondere wenn es darum geht, sich auf den Datentransfer vorzubereiten.“ Er sprach sich für eine Einschränkung aus. Entweder müsse klar sein, welche Daten Unternehmen vorhalten müssen für staatliche Zwecke und Anfragen oder man müsse das stärker eingrenzen. „Beides wird eine Herausforderung bei den Verhandlungen in Brüssel“, prognostizierte der Vertreter des Digitalministeriums.
EU-Kommission hofft auf baldigen Kompromisstext im Rat der EU
Anna Ludin, Policy Officer für die Generaldirektion Kommunikationsnetze, Inhalte und Technologien der EU-Kommission, erklärte die Zielsetzung des Data Act. Im Referat Data Policy and Innovation wirkt sie am Entwurf dieser Regelung mit. Angestrebt werde „die faire Allokation von Wertschöpfungen in der Datenökonomie“. „Deshalb geht es im Data Act auch um Datenzugangsverpflichtungen. … Die tschechische Ratspräsidentschaft hat sehr ambitioniert an den Kompromisstexten gearbeitet. Bald werden wir einen vollständigen Kompromisstext haben im Rat. Wir hoffen darauf, dass es vielleicht schon im Dezember zu einer allgemeinen Ausrichtung im Rat kommen wird.“ Das Europäische Parlament werde voraussichtlich im Februar über ein erstes Verhandlungsmandat abstimmen. Ludin erläuterte weiter: „Wenn man sich die Kommissionsmitteilungen aus den Jahren 2014 und 2017 näher anschaut, dann gibt es eine gewisse Kontinuität vom Ansatz in Bezug auf die Datenökonomie. Man will eigentlich keine neuen Exklusivitätsrechte etablieren, sondern mehr Akteure befähigen, an der Wertschöpfung teilzuhaben und das durch Zugangsrechte. Das tut der Data Act im IoT.“
Data Act und die DSGVO-Wechselwirkungen
Auch Christian Dürschmied, Rechtsanwalt der Wirtschaftskanzlei Eversheds Sutherland und Policy Consultant für Datenschutz & Privacy beim Bundesverband Digitale Wirtschaft (BVDW) erklärte den Hintergrund und die Ziele des Data Act. Er wies auf die wirtschaftliche und innovative Bedeutung von Daten hin, die der gesamten Gesellschaft nutzen. Gleichzeitig müsse ein hohes Maß an Vertrauen, Schutz und Sicherheit gewahrt werden. Übergeordnetes Ziel sei es, Europa zum weltweit führenden Akteur in der Datenwirtschaft zu machen, indem ein „echter Binnenmarkt für Daten“ geschaffen werde.
„Es sind, denke ich, vom Hintergrund und der Ziele <des Data Act> gute und sinnvolle Ansätze und ich glaube, dass viele Unternehmen bis hierher sagen würden, das unterstützen wir. Ich glaube aber auch mit Blick auf die Chancen und Risiken, dass Unternehmen sehr stark auf ihre eigene Situation schauen und versuchen, darüber ihre Position herauszuarbeiten.“ Sie schätzen zwar die Innovations- und Investitionsanreize für digitale Geschäftsmodelle sowie die Markt- und Wettbewerbschancen, sehen aber auch die technischen Herausforderungen und rechtliche Risiken durch drohende Sanktionen bei Verstößen.
Dürschmied ging anschließend auf die Wechselwirkungen mit der DSGVO ein. Da der Data Act die Vorgaben der DSGVO unberührt lasse und ergänze, fragten sich die Unternehmen: „Was heißt das für uns? Was müssen wir in Bezug auf Datenschutz und Daten-Compliance ändern?“ Es sei für sie eine Herausforderung festzustellen, ob ihre Produkte und Verarbeitungstätigkeiten in den Anwendungsbereich des Data Act fallen. Juristisch wichtig ist, dass der Data Act für den Dateninhaber keine Rechtsgrundlage schafft. Der Zugang zu personenbezogenen Daten erfordert aber eine datenschutzrechtliche Rechtsgrundlage, besonders eine Einwilligung oder ein berechtigtes Interesse. In der Praxis tun sich Unternehmen oft schwer, das berechtigte Interesse zu beurteilen und halten dieses Kriterium für zu unsicher.
Unterschiedliche Interessenlagen in den Unternehmen
Im Interview mit Frederick Richter, Vorstand der Stiftung Datenschutz, zeigte Dirk Binding, Leiter des Bereichs Digitale Wirtschaft und Infrastruktur im DIHK, die breite Palette in seiner Organisation auf. Der DIHK hat 3,4 Millionen Unternehmen der gewerblichen Wirtschaft als Mitglieder. „Wir haben Unternehmerinnen und Unternehmer, die Daten herstellen. Wir haben aber auch welche, die die Daten nutzen, und dann haben wir andere Unternehmen, die die Daten gerne nutzen würden, aber im Moment noch nicht nutzen können. … es gibt also sehr unterschiedliche Interessen, die es zusammenzuführen gilt.“, erklärte Binding. Eine Befragung der Mitgliedsunternehmen erbrachte als deren großes Problem die Unsicherheit – was auch die Vorredner in der Veranstaltung schon angesprochen hatten. „Wie kann ich Daten verwenden? Wie kann ich Daten weitergeben? Und wie kann der andere sie nutzen? Vielen Unternehmerinnen und Unternehmern sind die Folgen des Data Act noch nicht bewusst. Wir müssen das so übersetzen, dass unsere Unternehmen es verstehen und keine Angst davor haben“, forderte der DIHK-Vertreter. Bei deren Sensibilisierung stehe man noch am Anfang.
Welchen Rahmen brauchen Unternehmen für Data Sharing?
Dr. Vera Demary, Leiterin des Kompetenzfelds Digitalisierung, Strukturwandel und Wettbewerb im Institut der Deutschen Wirtschaft (IW), hatte kürzlich die Studie „Der Data Act. Welchen Rahmen Unternehmen für Data Sharing wirklich brauchen“ veröffentlicht. Sie begann ihren Vortrag gleich mit dem Fazit: „Unsere Erkenntnis ist: Unternehmen brauchen den Data Act so noch nicht. Denn die Unternehmen sind einfach noch nicht so weit.“ Nach einer Befragung von Unternehmen aus Industrie und industrienahen Dienstleistungen durch das IW im Jahre 2021 sind nur 29 Prozent von ihnen in der Lage, Daten effizient zu bewirtschaften. In der Diskussion später nannte sie Rechtsunsicherheit und mangelnde Informationen über die Rechtslage als Gründe für diese niedrige Quote. Lediglich elf Prozent können Daten effizient bewirtschaften und Daten austauschen. Der Großteil der Unternehmen gebe keine eigenen Daten heraus, sondern nehme Daten von Dritten in die eigenen Prozesse auf, so Demary. „Es müssen unternehmensintern noch viele Dinge geklärt und organisiert werden. Und deswegen glaube ich, es ist noch nicht der richtige Zeitpunkt für den Data Act. … Was passieren kann, ist, dass wir Bemühungen abwürgen, datenbasierte Produkte und Dienstleistungen auf den Markt zu bringen.“
Die IW-Forscherin nannte vier Ansatzpunkte für einen Kompromiss und listete viele Fragen auf, die dafür beantwortet werden müssen:
Mögliche Ansatzpunkte für einen Kompromiss
1.
Klärung des Anwendungsbereichs
Welche Daten sind gemeint (Rohdaten oder weiterverarbeitete Daten)? Welche Unternehmen sind gemeint? Ist die Schwelle von 50 Mitarbeitern geeignet?
2.
Klärung der Rollen
Wer ist Dateninhaber, wer ist Nutzer? Wertschöpfungsketten und -netzwerke sind komplex. Andere Konstellationen würde KMU vieles leichter machen.
3.
Verbesserung der Sicherheit
Wie lassen sich Geschäftsgeheimnisse besser schützen? Wie wird das überprüft?
4.
Klärung der Begleitung
Wie werden Compliance und Wirkung des Data Act geprüft? Sind die Effekte gewünscht? Fördern sie größere Datenökonomie und bessere Datennutzung?
Quelle: Dr. Vera Demary, Leiterin des Kompetenzfelds Digitalisierung, Strukturwandel und Wettbewerb im Institut der Deutschen Wirtschaft.
Ein riesiger Universalhut? – „Wir haben unterschiedliche Anforderungen, Anwendungsbereiche und Risiken.“
In der Diskussion zum Thema „Welche Rahmen brauchen Unternehmen für das Data Sharing?“ kritisierte Klemens Gutmann, Gründer und Vorsitzender der regiocom, dass die EU-Kommission mit dem Data Act einen „riesigen Universalhut“ schaffen wolle, statt sich drei bis fünf kleinere Hüte für die jeweilige Situation zuzulegen. „Bei der DSGVO lag der Universalisierungsansatz, der Vereinheitlichungsansatz auf der Hand. Es ging um Personen, um Einzelrechte in 27 Mitgliedstaaten, es ging um Vereinheitlichung. Das Ziel war klar. Das haben wir hier nicht. Wir haben unterschiedliche Anforderungen, Anwendungsbereiche und Risiken.“ Die kenne die Wirtschaft und auch der Gesetzgeber zum Teil noch nicht. „Und deshalb habe ich bei diesem Universalitätsansatz ganz große Bedenken“, sagte Gutmann. Er erklärte, dass sich die Positionen zum Data Act je nach Branche sehr unterscheiden. Während es zum Beispiel bei Daten aus der Flugzeugindustrie häufig um Geschäftsgeheimnisse gehe, sei das bei Verbrauchsdaten in der Energiewirtschaft ganz anders. Daher sei er skeptisch, ob es überhaupt eine gemeinsame legislative Lösung für die verschiedenen Anforderungen geben könne.
Demary wies auf ein Motivationsproblem für die Unternehmen hin: „Man muss sich überlegen, wie es attraktiv bleibt, in Daten, in Infrastruktur für Daten zu investieren. Wenn ich damit rechnen muss, dass die Daten an einen anderen abfließen, habe ich einen anderen Anreiz. Wir brauchen aber auch einen Anreiz dafür, dass Daten geteilt werden. … Jeder möchte Daten haben, viele können damit nicht umgehen und abgeben will sie niemand.“
Auch Mike Gahn, geschäftsführender Gesellschafter der ownSoft, stimmte in den Chor der Kritiker ein: „Ich glaube nicht, dass ich ansatzweise geschützt bin durch die 50-Mitarbeiter-Klausel, weil unsere Kunden größer sind und mit den Anforderungen, die im Gesetz formuliert sind, konfrontiert sind.“ Er geht davon aus, dass sich dadurch auch kleinere Firmen wie ownSoft an die Vorgaben halten müssen. „Das tickert bis ganz nach unten durch. Ich habe keine Chance, mich dem zu entziehen.“
EU-Datenregulierungen sind nicht aufeinander abgestimmt
„Ich kann mich den Vorrednern nur anschließen, die Abgrenzung zur DSGVO ist nicht gut gelungen“, sagte Thomas Fuchs, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. „Wenn man sich den Data Act, den Data Governance Act und die DSGVO ankuckt, dann ist es ein mittelalterliches Triptychon, also drei Tafelbilder, die nebeneinanderstehen und drei verschiedene Geschichten erzählen. Und das ist nicht richtig gut.“ Der Gesetzgeber entschied sich, den Data Act nicht zur Rechtsgrundlage für die Übermittlung personenbezogener Daten zu machen. Beim Data Governance Act ist das auch nicht der Fall. „Die Gesetzeswerke sagen, die DSGVO bleibt unberührt. Das heißt, die Rechtsgrundlage für die Übermittlung personenbezogener Daten muss nach DSGVO-Standards ermittelt werden und das passt halt nicht. Seien wir ehrlich: Das Einwilligungsmodell ist auf eine massenhafte Datenteilung angelegte Wirtschaft nicht sinnvoll. Das wird nicht funktionieren“, erklärte Fuchs. Darüber hinaus seien die Informationspflichten nach den verschiedenen Gesetzen nicht gleich, so dass ihre Erfüllung für die Wirtschaft aufwändig werde.
Die Struktur der Aufsichtsstellen ist durch die großen EU-Regulierungen vielgestaltig geworden. Der Data Act überlässt sie den Mitgliedsstaaten. Es gibt keinen europäischen Koordinierungsmechanismus wie bei den anderen Datenrechtsakten. „Ich weiß nicht, wie man das in der Praxis handeln soll. Das Einzige, was es halbwegs kohärent machen kann, ist, dass die Datenschutzaufsichtsbehörden auch zuständig werden für die Koordination des Data Acts, weil nur sie im Data Act als competent authorities genannt werden.“ Es sei sinnvoller, die aufzubauende Kompetenz an eine bestehende Behörde anzuflanschen als etwas Neues zu gründen.
Data Act als Chance für Datenschutzbeauftragte und andersherum?
Auch Vladan Rámiš, der Vizepräsident des europäischen Dachverbands der betrieblichen Datenschutzbeauftragten European Federation of Data Protection Officers (EFDPO), nahm zum Verhältnis zwischen Data Act und der DSGVO Stellung.
„Was das Teilen von Daten aus IoT-Geräten betrifft, konzentriert sich der Data Act eher auf die Perspektive des einzelnen Nutzers, nicht auf die des Teilens von Datenbanken, die für Big Data eigentlich notwendig sind“, sagte Rámiš.
Er sprach sich für eine starke Rolle der Datenschutzbeauftragten in der Umsetzung des Acts aus: „Wie oft sind die Datenschutzbeauftragten im Data Act und in der gemeinsamen Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten zum Data Act erwähnt? Leider kein einziges Mal. Dennoch werden die Datenschutzbeauftragten häufig beteiligt sein an der Umsetzung des Data Act, weil es sehr eng mit der DSGVO zusammenhängt. … Sie könnten hierbei ihr Fachwissen einbringen.“
Der Moderator der Diskussion, Frederick Richter von der Stiftung Datenschutz, lockerte die trockene juristische Materie mit seiner zutreffenden Beobachtung auf: „Wir haben heute schon viel Kritik am Data Act gehört. Aber zwei Lager freuen sich schon auf die Zuständigkeit. Das ist die Aufsicht und die betrieblichen Beauftragten.“ An Ludin als Vertreterin der EU-Kommission richtete er die Fragen: „Wie ist die Sicht des Parlaments und der verschiedenen Akteure? Gibt es starke Differenzen und sind große Veränderungen an dem Entwurf im Trilog zu erwarten?“ Ludin antwortete: „Ich kann so viel sagen, dass es großes Interesse an dem Dossier aus den verschiedenen Bereichen gibt. … Das zeigt der Streit um die Zuständigkeit zwischen den Ausschüssen im Parlament. Daher gehe ich davon aus, dass viele Eingaben erfolgen werden. Ob dann lange gestritten wird, das wäre jetzt spekulativ.“
„Die Unklarheiten des Data Act erschlagen die IoT-Branche“
Datenschützer Fuchs kam den Wünschen der Datenwirtschaft etwas entgegen: „Ich finde den Grundansatz richtig, dass wir das wachsende Datenvolumen in der Gesellschaft nutzen wollen, z.B. zu Forschungszwecken. Wir alle wissen nicht, wie werden die Wechselwirkungen zwischen Data Act und Datenschutz enden, also welche Paradoxien entstehen. Es ist nicht Ziel des Datenschutzes, dass weniger Daten erhoben werden, denn dann werden die Daten, die wir gemeinsam nutzen wollen, schlechter.“
Der Unternehmer Gutmann bekräftigte seine Ablehnung einer baldigen Regulierung: „Es würde uns massiv bremsen, wenn die ganzen Unklarheiten des Data Act auf die junge IoT-Branche treffen. Damit erschlagen Sie sie. Deswegen sage ich: Erst einmal hinkucken, bevor man regelt.“
Am Ende zog Fuchs ein Fazit: „Viele Stellungnahmen heute gingen in dieselbe Richtung: Der Ansatz ist zu breit, die Begriffe sind zu unpräzise, es schafft neue Probleme, die Abgrenzung zur DSGVO funktioniert nicht. Eigentlich müsste man sich fragen: Warum muss es ein Act sein? Ist es nicht ein typischer Fall für eine Richtlinie, wo der nationale Gesetzgeber sektorenscharf konkretisieren kann?“ Vielleicht sei es „in der Welle der Acts im Sinne der europäischen Digitalstrategie ein sich Überheben“. Da keine europäische Governance vorgesehen sei und die EU-Kommission die Verordnung nicht umsetzen werde, stelle sich die Frage: „Also, wenn es eh‘ nationalstaatlich beaufsichtigt wird, warum dann nicht anhand von nationalstaatlicher Konkretisierung?“