Da ging was schief.

Fehler 404.

14.06.2022
SPRECHZETTEL
PDF Download

Data in vier Akten – die digitalen Pläne der EU

Die EU will zum Vorbild einer digitalen Gesellschaft werden. Dazu hat sie in den letzten Monaten verschiedene Gesetzesentwürfe vorgelegt, die vor allem eines gemeinsam haben: Das D, wie in „Data“ und „Digital“. Data Act und Data Governance Act sind Folgemaßnahmen der europäischen Datenstrategie. Digital Services Act und Digital Markets Act sollen die Rahmenbedingungen für die digitale Sphäre in Europa prägen.

Der Data Act regelt, wer welche Daten für welche Zwecke nutzen darf.
Der Data Governance Act regelt die Weiterverwendung von Daten aus öffentlichen Stellen.
Der Digital Services Act regelt die Haftbarkeit der Anbieter und die Sicherheit digitaler Plattformen.
Der Digital Market Act regelt Marktmacht und die Garantie auf fairen Wettbewerb.

Darum ist das wichtig

Übergeordnetes Ziel der EU-Kommission ist ein offener Markt für Daten. Die sind bekanntermaßen wertvoll. Für die Wirtschaft, für einzelne Unternehmen, für den Staat. Wer Daten unter welchen Voraussetzungen nutzen darf, ist bisher aber in der EU nicht einheitlich geregelt. Das hemmt Innovationen und behindert den Wettbewerb. Problem bei der Sache: Die Datenschutzgrundverordnung (DSGVO) und ihre Rechtsgrundsätze.

Die Details

Die EU-Kommission hatte sich im Februar 2020 auf eine europäische Datenstrategie geeinigt. Ein einheitlicher europäischer Markt für Daten sollte geschaffen und neue Vorschriften für Künstliche Intelligenz (KI) etabliert werden. Dies alles in Einklang mit den Werten und Grundrechten der EU und im Einklang mit dem Datenschutz. In der Datenstrategie spielt der allerdings so gut wie keine Rolle. Wie Datenschutz und Datenzugang in Einklang gebracht werden können, ist bisher offen. Wie werden bestehende Lücken beim Datenschutz geschlossen? Wie kann der Datenschutz modernisiert und vereinfacht werden? Wie sieht es aus mit der Anonymisierung von Daten, damit diese überhaupt genutzt werden können? Die Kommission beantwortet die meisten Fragen nicht. Zur Datenübertragung allerdings bringt sie Artikel 20 DSGVO ins Spiel. Dieser ermöglicht Kunden die Mitnahme all ihrer Daten zu einem anderen Dienstleister. Sie hofft, dass das die Datensouveränität der Nutzer gegenüber Anbietern stärkt und für mehr Wettbewerb sorgt. Bisher geht das nicht so richtig auf, nicht zuletzt wegen übermächtiger und monopolartiger Strukturen von Unternehmen wie Meta, Google, Amazon und Co.

Diskutiert werden daher jetzt Personal Information Management Systems (PIMS). Mit PIMS könnten Internet-Nutzer zentral und für alle Geräte festlegen, welche Einwilligungen sie Webseiten erteilen wollen. Die Cookie-Banner wären damit Geschichte. Sicherlich eine verlockende Aussicht. Geht aber eigentlich nicht. Eine Einwilligung muss freiwillig und für einen zuvor festgelegten, spezifischen Zweck ausdrücklich erteilt werden. Und zwar nachdem ausreichend über die konkreten Verarbeitungszwecke informiert wurde. Wie soll das gehen? Zu komplex, bei zu vielen Einwilligungsabfragen auf zu vielen Websites – das kann kaum konkret oder spezifisch sein. Datensouveränität, schöne Idee – aber die Machbarkeit bleibt unklar.

Wertungen

„Der #DGA ist wirklich ein #Papiertiger. Ich identifiziere: 45 zusätzliche Pflichten bei der Weiterverwendung #reuse von Daten des öffentlichen Sektors, 52 zusätzliche Pflichten bei den #Datenintermediären, 48 zusätzliche Pflichten beim #Datenaltruismus“, twitterte Winfried Veil am 13. Januar 2022. Veil sieht im DGA ein bürokratisches Ärgernis und eine verpasste Gelegenheit, Daten für einen guten Zweck einzusammeln. (Data altruism: how the EU is screwing up a good idea)

Zur Diskussion über PIMS: „Der Begriff „Datensouveränität“ stellt sich in der aktuellen Diskussion als eine inhaltsleere Phrase dar. Souverän ist allein derjenige, welcher über den Lebenszyklus einer Datenverarbeitung bestimmt – und der letztlich auch einen Datenschutzverstoß zu verantworten hat“ – schreibt Christian Aretz in DuD, 1/2022, S. 40 ff.

So geht es weiter

Data Act: EU-Kommission hat Entwurf vorgelegt, als nächstes sind Parlament und Ministerrat dran sich zu äußern, dann folgt der Trilog, dann die Verabschiedung.

Data Governance Act
: Das Gesetz ist beschlossen, die neuen Vorschriften werden 15 Monate nach Inkrafttreten der Verordnung zur Anwendung kommen.

Digital Services Act
: Rat und Europäisches Parlament haben sich vorläufig geeinigt, der finale Text liegt aber noch nicht vor.

Digital Markets Act
: Auch hier fehlt noch der endgültige Text. Das Trilogverfahren ist beendet, der Rat der EU-Staaten und das Parlament müssen der Einigung noch zustimmen. Dann folgt Veröffentlichung im Amtsblatt und Inkrafttreten. Das könnte schon Anfang 2023 so weit sein.

PDF Download