Die Digitalstrategie der EU – Data Act

In diesem Kapitel des Tagebuchs wird ein Überblick über den Data-Act dargestellt.  [...]

Tagebuch eines Datenschutz-Beauftragten (c) ITW

Die EU hat einige Verordnungen beschlossen – bzw. ist dabei sie zu beschließen, die unterschiedliche Themen abdecken. Teilweise stehen sie sogar im Widerspruch: während die DSGVO auf strengen Schutz von personenbezogenen Daten ausgerichtet ist, ist das Ziel anderer „Acts“ unter anderem, dass Unternehmen die Nutzungsdaten von Kund:innen teilen. 

Die EU nennt die Verordnung „Gesetz über fairen Datenzugang und faire Datennutzung“. 

Man darf gespannt sein, wie sich die diese Regelwerke auf den technologischen Fortschritt auswirken werden. Die EU hat unterschiedliche Strategien zur Erreichung der Ziele der digitalen Dekade erstellt. Neben der EU-Digitalstrategie wurde auch eine EU-Datenstrategie entwickelt. 

1.1) Komponenten der EU-Digitalstrategie 

Die folgende Abbildung zeigt das Zusammenspiel der Komponenten der EU-Digital-Strategie: 

Abb.  1: EU-Digitalstrategie und ihre Komponenten. (Quelle: DSGVO-ZT GmbH)

Zur Digitalstrategie der EU sind bisher folgende Artikel in der IT-Welt erschienen: 

EU-Digitalstrategie: Vorteile oder nur Aufwand 
Die Digitalstrategie der EU – Künstliche Intelligenz 
Data Governance 

In diesem Kapitel wird ein Überblick über den Data-Act dargestellt. 

2.) Data-Act der Europäischen Union: Ein Überblick 

Der Data Act der EU (EU-Datengesetz) ist eine wichtige Rechtsvorschrift, die die Art und Weise, wie Daten in der digitalen Wirtschaft genutzt und weitergegeben werden, neugestalten soll. Das Gesetz ist entscheidend für die Förderung einer datengesteuerten Wirtschaft in Europa, indem es den Zugang zu und die Nutzung von Daten, insbesondere im Bereich „Internet of Things“ (IoT), regelt und standardisiert. 

2.1) Zur Historie 

Der Vorschlag für eine Verordnung über harmonisierte Regeln für den fairen Zugang und die faire Nutzung von Daten wurde am 23. Februar 2022 von der Kommission angenommen. Der Data Act (https://digital-strategy.ec.europa.eu/en/library/data-act-proposal-regulation-harmonised-rules-fair-access-and-use-data) ist ein wichtiger Pfeiler der europäischen Datenstrategie. Es soll einen wichtigen Beitrag zum Ziel der digitalen Transformation im Rahmen der Digitalen Dekade leisten. 

2.2) Abgrenzung zum Data Governance Act 

Die neuen Maßnahmen ergänzen die Data Governance-Verordnung, die im November 2020 als erste Maßnahme der europäischen Datenstrategie vorgeschlagen wurde. Während die Data-Governance-Verordnung Prozesse und Strukturen schafft, die den Umgang mit Daten erleichtern, klärt der Data Act wer unter welchen Bedingungen Daten erheben darf. 

2.3) Presseaussendung der EU 

Im Folgenden werden einige Passagen aus der Presseaussendung 932/23 der EU vom 27.11.2023 zitiert: 

„Um die EU zu einem Vorreiter in unserer datengesteuerten Gesellschaft zu machen, hat der Rat eine neue Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datenverordnung) angenommen.“ 

„Mit der Datenverordnung werden Hersteller und Diensteanbieter verpflichtet, ihren Nutzern, seien es Unternehmen oder Privatpersonen, den Zugang zu Daten und die Weiterverwendung von Daten zu ermöglichen, die bei der Nutzung ihrer Produkte oder Dienstleistungen – von Kaffeemaschinen bis hin zu Windturbinen – erzeugt werden. Zudem wird es Nutzern ermöglicht, diese Daten an Dritte weiterzugeben – zum Beispiel könnten Fahrzeughalter in Zukunft entscheiden, bestimmte Fahrzeugdaten an einen Mechaniker oder ihre Versicherungsgesellschaft weiterzugeben.“ 

2.4) Anwendungsbereich der Verordnung 

Die neue Verordnung wird es den Nutzern vernetzter Geräte – von intelligenten Haushaltsgeräten bis hin zu intelligenten Haushaltsgeräten bis hin zu intelligenten Industriemaschinen – Zugang zu den Daten, die bei ihrer Nutzung anfallen und oft exklusiv von Herstellern und Diensteanbietern vorbehalten sind. 

„Im Hinblick auf Daten aus dem Internet der Dinge (IoT) konzentriert sich das neue Gesetz insbesondere auf die Funktionalitäten der von vernetzten Produkten gesammelten Daten und nicht auf die Produkte selbst. Es führt die Unterscheidung zwischen „Produktdaten“ und „verbundenen Dienstdaten“ ein, von denen leicht verfügbare Daten weitergegeben werden können“. 

3.) Eckpfeiler des Data Act (DA) 

3.1) Eckpfeiler 

  • Zugang zu und Übertragbarkeit von Daten 
    • Der Data Act fördert die Interoperabilität und Portabilität von Daten, um die Abhängigkeit von einzelnen Anbietern zu verringern und den Wettbewerb zu stärken. 
  • Zugänglichkeit von Daten 
    • Es wird eine „Datenzugänglichkeit durch Design“ vorgeschrieben, um sicherzustellen, dass die Daten den Nutzern sicher und einfach zur Verfügung stehen. 
  • Schutz personenbezogener Daten 
    • Der Data Act ergänzt bestehende Datenschutzgesetze wie die Datenschutz-Grundverordnung und stellt sicher, dass personenbezogene Daten auch beim Datenaustausch geschützt bleiben. 

3.2) Begriffsdefinitionen 

Die Begriffsdefinitionen sind so kompliziert formuliert, dass sie von juristischen Laien kaum vollständig interpretiert werden können. Dass die Materie hoch kompliziert ist, zeigt allein die Tatsache, dass der Data Act 119 ErwG (Erwägungsgründe) anführt! 

  • Daten 
    • „Daten“ sind nach Art. 2 Nr. 1 „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“. 
  • Nutzer 
    • „Nutzer“ ist „eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt (siehe ErwG 18, S. 1) oder der vertraglich zeitweilige Rechte für die Nutzung des Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt“ (siehe Art. 2 Nr. 12 DA). 
      Daraus ergibt sich gerade keine Beschränkung auf Verbraucher, die das Produkt oder die Dienstleistung für persönliche Zwecke nutzen, sondern es kann z.B. auch ein Unternehmer als Nutzer im Sinne des DA angesehen werden. 
      Darüber hinaus können auch mehrere Personen gleichzeitig Nutzer eines vernetzten Produkts oder einer vernetzten Dienstleistung sein. 

Die weiteren Begriffe werden wegen der Komplexität nicht näher betrachtet. Dazu gehören: 

  • Vernetztes Produkt 
  • Verbundener Dienst 
  • Dateninhaber 
  • Datenempfänger 

3.3) Grundsätze des Datenzugangs 

Wir gehen hier nicht im Detail auf die Datenzugänge ein, sondern geben ein kurzer Überblick, wo, diese Grundsätze nachgelesen werden können. Der DA unterscheidet zwischen folgenden Zugangsarten: 

  1. Direkter Nutzer-Zugang (siehe Art. 3 DA) 
  2. Indirekter Nutzer -Zugang (siehe Art.4 DA) 
  3. Datenzugang für Dritte (siehe Art. 5)  

3.4) Ziele des Data Acts 

Der Data Act verfolgt drei Hauptziele: 

  1. Förderung von Innovation und Wettbewerb: 
    • Der Data Act soll sicherstellen, dass Daten, die von IoT-Geräten und anderen Quellen generiert werden, fair genutzt werden können. Dadurch sollen Innovationen gefördert und ein fairer Wettbewerb gewährleistet werden. 
  1. Schutz der Verbraucher- und Nutzerrechte:  
    • Das Gesetz betont die Bedeutung des Datenschutzes und der Datensicherheit. Ziel ist es, die Rechte der Verbraucher und Nutzer zu wahren und ihre Daten vor Missbrauch zu schützen. 
  1. Unterstützung kleiner und mittlerer Unternehmen (KMU):  
    • Durch den Zugang zu Daten, die sonst nur von großen Unternehmen genutzt werden könnten, stellt der Data Act sicher, dass dieser Zugang auf für KMUs besteht, so unterstützt der Data Act die KMUs und fördert deren Wachstum und Innovation. 

3.5) Betroffene des Data Acts 

Die Betroffenen des Data Acts können in drei Gruppen gegliedert werden: 

  1. Hersteller von IoT-Geräten:  
    • Sie müssen sicherstellen, dass ihre Produkte den neuen Vorschriften entsprechen, insbesondere in Bezug auf den Datenzugang. 
  1. Dienstleister und Entwickler:  
    • Diese Gruppen müssen die Prinzipien des Data Acts in ihrer Arbeit berücksichtigen, insbesondere bei der Gestaltung von Anwendungen, die Daten von IoT-Geräten nutzen. 
  1. Verbraucher und Nutzer von IoT-Geräten:  
    • Sie profitieren von verbessertem Datenschutz und größerer Transparenz über die Verwendung ihrer Daten. 

3.6) Bedeutung des Data Act 

Der Data Act ist eine bahnbrechende Verordnung, die die Landschaft der digitalen Wirtschaft in der EU prägt. Durch die Schaffung eines fairen und transparenten Rahmens für den Zugang zu und die Nutzung von Daten leistet der Act einen wichtigen Beitrag zur Förderung von Innovationen, zum Schutz der Verbraucher und zur Unterstützung kleiner und mittlerer Unternehmen. Er adressiert die komplexen Herausforderungen des digitalen Zeitalters und stellt sicher, dass die EU eine führende Rolle in der globalen digitalen Wirtschaft einnimmt. 

Insgesamt ist der Data Act ein entscheidender Schritt hin zu einer fairen, sicheren und innovativen digitalen Zukunft in Europa. Er bietet den Rahmen für eine ausgewogene Datennutzung, die sowohl das Wirtschaftswachstum fördert als auch die Rechte des Einzelnen schützt. 

3.7) Prinzipien des Data Acts 

Die Prinzipien des Data Acts gliedern sich in drei Hauptbereiche: 

  1. Fairness und Transparenz:  
    • Der Data Act stellt sicher, dass der Zugang zu Daten unter fairen, angemessenen und nicht diskriminierenden Bedingungen erfolgt. Dadurch soll eine transparente und ausgewogene Nutzung der Daten gewährleistet werden. 
  1. Datensicherheit und Datenschutz:  
    • Das Gesetz legt großen Wert auf die Sicherheit und den Schutz personenbezogener Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO). 
  1. Nichtdiskriminierung:  
    • Der Data Act soll Diskriminierung bei der Datennutzung verhindern und gleiche Bedingungen für alle Marktteilnehmer schaffen. 

4.) Gliederung des DA 

Absatz 2 des DA enthält die Gliederung des DA wie folgt: 

Die vorliegende Verordnung erstreckt sich auf personenbezogene und nicht-personenbezogene Daten, einschließlich der folgenden Arten von Daten, in den folgenden Zusammenhängen: 

  • Kapitel I enthält allgemeine Bestimmungen. 
  • Kapitel II gilt für Daten, mit Ausnahme von Inhalten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen; 
  • Kapitel III gilt für alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen; 
  • Kapitel IV gilt für alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden;  
  • Kapitel V gilt für alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten; 
  • Kapitel VI gilt für alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste; 
  • Kapitel VII gilt für alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden. 

5.) Bedeutung in der Praxis 

Der Data Act wird für Fairness sorgen, indem es Regeln für die Nutzung von Daten festlegt, die von Geräten im Internet der Dinge (Internet of Things, IoT) erzeugt werden.  

Der Data Act wird mehr Daten zum Nutzen von Unternehmen, Bürgern und öffentlichen Verwaltungen durch eine Reihe von Maßnahmen verfügbar machen, wie z.B: 

  1. Maßnahmen zur Erhöhung der Rechtssicherheit 
    • Diese Maßnahmen gelten sowohl für Unternehmen als auch für Verbraucher, die Daten erzeugen. Sie legen fest, wer welche Daten unter welchen Bedingungen nutzen darf. Darüber hinaus schaffen sie Anreize für die Produzenten, weiterhin in die Generierung qualitativ hochwertiger Daten zu investieren. 
      Diese Maßnahmen werden den Datentransfer zwischen Diensteanbietern erleichtern und mehr Akteure unabhängig von ihrer Größe an der Datenwirtschaft beteiligen. 
  1. Maßnahmen zur Verhinderung von Missbrauch: 
    • Diese Maßnahmen verhindern vertragliche Ungleichgewichte und fördern dadurch einen  fairen Datenaustausch.  
      KMUs werden vor unfairen Vertragsbedingungen geschützt, die von einer Partei mit einer deutlich stärkeren Marktposition verlangt wird. Die Kommission wird auch Standardvertragsklauseln entwickeln, um den Marktteilnehmern dabei zu helfen, faire Verträge über die gemeinsame Nutzung von Daten zu entwerfen und auszuhandeln. 
  1. Zugriff öffentlicher Stellen auf Daten des Privatsektors: 
    • Der Data Act ermöglicht öffentlichen Stellen, auf Daten des Privatsektors zuzugreifen und diese zu nutzen, wenn dies für bestimmte Zwecke im öffentlichen Interesse erforderlich ist. Zum Beispiel, um Erkenntnisse zu gewinnen und bei Notwendigkeit schnell und sicher reagieren zu können, wobei die Belastung für die Unternehmen so gering wie möglich gehalten wird. 
  1. Wechsel der Anbieter von Datenverarbeitungsdiensten: 
    • Der Data Act schafft Rahmenbedingungen, die einen effektiven Wechsel von Kunden zwischen verschiedenen Anbietern von Datenverarbeitungsdiensten ermöglichen, um den EU-Cloud-Markt zu erschließen. Dies wird auch zu einem Gesamtrahmen für eine effiziente Dateninteroperabilität beitragen. 

6.) Verstöße gegen den Data Act 

Strafen für Verstöße gegen den Data Act sind von den Mitgliedstaaten verpflichtend vorzusehen. In diesem Zusammenhang findne die Strafen laut Art. 40 Abs. 1 DSGVO Anwendung.  

Die Maßnahmen müssen wirksam, verhältnismäßig und abschreckend sein – siehe Art. 83 Abs. 1 DSGVO. 

7.) Zusammenfassung 

Der Data Act kann ein wertvoller gesetzgeberischer Impuls für die Entstehung eines europäischen Datenmarktes sein. Insbesondere das Aufbrechen von Datensilos und Konzentrationstendenzen versprechen positive Effekte für den entstehenden europäischen Datenbinnenmarkt. 

Allerdings ergeben sich aus dem Data Act zugleich gravierende rechtliche Umsetzungs- und Anwendungsschwierigkeiten sowie Hindernisse. Gerade die Nutzerzentrierung als Leitmotiv erfordert ein Umdenken zu klassischen Herangehensweisen. Insbesondere im Hinblick auf das Verhältnis zur DSGVO ist zudem eine erhebliche Rechtsunsicherheit zu befürchten. 

Es ist fraglich, ob der Data Act den erhofften Beitrag zum Abbau der in Erwägungsgrund 2 DA identifizierten Hürden für den Datentransfer leisten kann. Eine Antwort darauf wird die Umsetzung nächster Zeit zu Tage fördern.  

8.) Referenzen 

  1. Rat der Europäischen Union, „Datenverordnung: Rat verabschiedet neues Gesetz über fairen Datenzugang und faire Datennutzung“, zugegriffen am 14. Januar 2024. [Online]. Verfügbar unter: https://www.consilium.europa.eu/de/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/ 
  1. Europäisches Parlament und Rat, „Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten und zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Data Act),“ 2023, zugegriffen am 14. Januar 2024. [Online]. Verfügbar: http://data.europa.eu/eli/reg/2023/2854/oj/eng 
  1. EY Law, „Der EU Data Act: Ein Wendepunkt für die europäische Datenwirtschaft“, zugegriffen am 14. Januar 2024. [Online]. Verfügbar unter: https://www.eylaw.at/der-eu-data-act-ein-wendepunkt-fuer-die-europaeische-datenwirtschaft/ 

9.) Autoren

Das Tagebuch wird zur Verfügung gestellt von:                

DSGVO-ZT GmbH
www.dsgvo-zt.at

Gast-Autor:

DI Herbert Mühlburger
IT-Ziviltechniker

AI-Trust ZT GmbH
office@it-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*