Die EU-Kommission hat einen Gesetzesentwurf vorgeschlagen, der das Teilen wertvoller Datensätze innerhalb der Europäischen Union erleichtern soll. Kommissions-Vizepräsidentin Margrethe Vestager und Digitalkommissar Thierry Breton stellen das Gesetz am heutigen Mittwoch in Brüssel vor, wichtige Details wurden allerdings bereits im Voraus bekannt.
Die Data-Governance-Verordnung soll europaweit Impulse zur besseren Nutzung wertvoller Daten schaffen. Es geht dabei um Daten der öffentlichen Hand ebenso wie um Datenschätze von Unternehmen. Die Verordnung soll den Zugang sowohl zu persönlichen Daten von Nutzer:innen als auch zu nicht-persönlichen Daten erleichtern. Sie ergänzt die im Vorjahr beschlossene Open-Data-Richtlinie der EU. Die Verordnung soll helfen, Daten einfach und rechtssicher verfügbar zu machen.
Als Beispiel nennen die EU-Beamten Umweltdaten aus Smart-Home-Geräten, die bei der Bekämpfung des Klimawandels helfen könnten, aber auch die stärkere Nutzung von Gesundheitsdaten zu Forschungszwecken.
Durch Cloudspeicherung und Internet-of-things-Anwendungen wachse das Datenvolumen in Europa immer weiter, heißt es von der Kommission. Im Jahr 2025 gibt es nach Schätzung der Kommission ein Volumen von 175 Zetabyte an nutzbaren Daten, umgerechnet 162.981.450.557.709 Gigabyte.
Datenintermediäre und Genossenschaften
Die Verordnung schafft einen rechtlichen Rahmen für sogenannte Datenintermediäre. Dabei handelt es sich um neutrale Vermittlungsstellen, die den Austausch zwischen Datenquellen und interessierten Parteien ermöglichen soll. Personen, deren persönliche Daten genutzt werden, sollen sich hingegen künftig in Datengenossenschaften organisieren können. Erleichtern möchte die EU-Kommission zudem unter dem Stichwort Datenaltruismus Datenspenden für gemeinnützige Zwecke, wie sie etwa schon in der deutschen Corona-Datenspende-App geschehen.
Vom Tisch ist nach Angaben von EU-Beamten eine Passage aus einem früheren Entwurf für die Verordnung, laut der der Datenaustausch auf die Europäische Union beschränkt sein soll. Daran hatte es zuletzt heftige Kritik von industrienahen Thinktanks gegeben. Es werde keine Pflicht zur Niederlassung in der EU geben, sagte ein Kommissionsbeamter, der namentlich nicht genannt werden wollte. Allerdings müsse jede Person oder Organisation, die Zugriff auf europäische Datenräume wolle, eine rechtliche Vertretung in der EU haben. Auch müsste der Datentransfer mit bestehenden Datenschutzregeln vereinbar sein, wenn es sich um persönliche Daten handle.
Kritik an fragwürdiger Anonymisierung
Einwände von Datenschützer:innen gibt es vor allem wegen der Nutzung persönlicher Daten. Es sei ein Vorteil für die EU, wenn Daten von Nutzenden durch Gesetze wie die Datenschutzgrundverordnung geschützt seien, schreibt Estelle Massé von der NGO Access Now in einem Blogbeitrag. Die EU stelle sicher, dass „Geschäftsmodelle nicht darauf beruhen, uns unserer Rechte zu berauben“. Die im Gesetzesvorschlag vorgesehenen, vage definierte Begriffe wie „Datenaltruismus“ und „Datenwiederverwendung“ seien potentiell eine Bedrohung für die Kontrolle von Menschen über die Nutzung ihrer Daten.
Die Kommission sieht den Schwerpunkt der neuen Verordnung bei der Nutzung nicht-persönlicher Daten, etwa Industriedaten. Bei der Nutzung persönlicher Daten gebe es mehrere Möglichkeiten, um diese zu schützen, sagten EU-Beamte. Eine Möglichkeit sei, dass die Verarbeitung der Daten ausschließlich bei den Intermediären selbst passiere, um einen Abfluss und Missbrauch zu vermeiden. Eine andere Möglichkeit sei, persönliche Daten zu anonymisieren. Der Entwurf nennt mehrere Möglichkeiten, das zu tun, darunter auch Pseudonymisierung von Daten.
Der Datenschützer Max Schrems hält das für bedenklich, da insbesondere Pseudonymisierung häufig einfach wieder rückgängig gemacht werden könne. Die Technik für unumkehrbare Anonymisierung gebe es einfach noch nicht, sagte Schrems bei einer Debatte mit EU-Kommissar Breton. Generell sei der Status „anonym“ bei Daten nur eine Momentaufnahme, hatte zuletzt der Bundesdatenschutzbeauftragte Ulrich Kelber betont.
Der Gesetzesvorschlag liegt nun auf dem Tisch und geht an das Parlament und den Rat der EU-Staaten. Wenn diese sich auf Positionen festgelegt haben, entscheiden die drei EU-Institutionen gemeinsam über einen endgültigen Text. Insbesondere das Parlament könnte noch einige Einwände aus der Zivilgesellschaft an dem Kommissionsentwurf berücksichtigen.
Anonymisierung als Momentaufnahme.
Nicht schlecht, aber Begrifflich auch nicht so gut. Es könnte ja heißen, dass wegen Rechtssicherheit eine Momentaufnahme für alles reicht, bis die nächste Momentaufnahme dann etwas anderes bedeutet, zumindest in Gedanken.
Das Problem ist, dass die Anonymierung nach bisherigen gesetzlichen Standards teilweise bis hin zu ziemlich vollständig wirkungslos ist, es also eher eine Frage der Zeit, und der Skrupellosigkeit oder sogar Kriminalität ist, daraus Nutzen und Schaden für jew. Zielgruppen zu schöpfen. Ab Freigabe der Daten ist es dafür allerdings zu spät, also ist es vom Prinzip her dann schon passiert. Es ist im Grunde kein getrennter Moment, wenn es zum Mißbrauch oder konkreter Kenntnis kommt, es ist ein Moment.
Die Behörden geben sich ja auch nicht geschlagen, nur weil Kriminelle gerne keine Steuern zahlen wollen. Oder… äh, wie war das noch?