Die EU-Kommission möchte es Unternehmen und Privatpersonen einfacher machen, wertvolle Daten der Allgemeinheit zur Verfügung zu stellen. Solche Spenden, etwa die freiwillige Weitergabe von Gesundheitsdaten zur Erforschung der Corona-Pandemie, sollen einen europaweit einheitlichen Rechtsrahmen bekommen. Ein Gesetzesentwurf, den netzpolitik.org veröffentlicht, soll demnächst von Kommissions-Vizepräsidentin Margrethe Vestager in Brüssel vorgestellt werden.
Diese Data-Governance-Verordnung soll das Teilen von Daten aus öffentlicher und privater Hand für alle mögliche Arten von Zwecken begünstigen. Die Kommission erhofft sich davon Vorteile für die Forschung, aber auch neue wirtschaftliche Impulse.
Die Verordnung ermöglicht laut dem Entwurf von Ende Oktober „die Schaffung eines europäischen Modells für die gemeinsame Nutzung von Daten, das eine Alternative zum Geschäftsmodell der Plattformen großer Technologiekonzerne darstellt.“ Sie soll bestehende Gesetze wie die Open-Data-Richtlinie aus dem Vorjahr ergänzen. Den Entwurf hatte zuerst die Nachrichtenseite Politico.eu veröffentlicht.
Tauschbörsen für die Datennutzung
Eine Schlüsselrolle sollen sogenannte Datenintermediäre spielen. Dabei handelt es sich um neutrale Stellen, die als Vermittler zwischen Datenquellen und interessierten Parteien dienen sollen. Die Intermediäre sollen durch eine ausreichende technische und rechtliche Infrastruktur das nötige Vertrauen für den Austausch großer Datenmengen schaffen. Das soll Firmen und große Organisationen dazu ermuntern, wertvolle und bislang ungenutzte Datensätze routinemäßig mit anderen zu teilen.
Als Teil der Initiative soll auch die öffentliche Hand mit ihren Datenschätze freigiebiger weitergeben als bisher und Daten über die neuen Intermediäre zur Verfügung stellen. Behörden sollten nach Möglichkeit exklusive Übereinkünfte mit privaten Partnern vermeiden, die zu nur eingeschränkter öffentlicher Verfügbarkeit von Daten führen könnten, heißt es in dem Entwurf.
Das kann eine Vielzahl von Datensätzen betreffen, die von der öffentlichen Hand produziert werden. Bislang gibt es dabei häufig offene Fragen. In Deutschland gab es zuletzt etwa rechtlichen Streit über die Verwendung von Daten des Deutschen Wetterdienstes.
Als Möglichkeit sieht der Verordnungsentwurf der EU die Einrichtung von Datengenossenschaften vor. Diese sollen Privatpersonen ermöglichen, gemeinsam über die Nutzungsbedingungen für ihre persönlichen Daten durch Organisationen zu verhandeln.
Neuer Rechtsbegriff für Gemeinnütziges
Der Entwurf führt mit dem Konzept des Datenaltruismus einen neuen Rechtsbegriff ein. Die Kommission meint damit das Verfügbarmachen von Daten zu gemeinnützigen Zwecken. Als Beispiel nennt der Entwurf eine verbesserte Gesundheitsversorgung, den Kampf gegen den Klimawandel, bessere Mobilitätslösungen oder Beiträge zur wissenschaftlichen Forschung.
Das Sammeln von Daten zu gemeinnützigen Zwecken soll laut dem Entwurf nur nicht-kommerziellen Organisationen erlaubt sein. Als Grundprinzipien müssten Transparenz und die Wahrung von Datenschutz und Datensicherheit sein. Datenspender:innen müssten über die Verwendung ihrer Daten informiert werden und ihre Zustimmung jederzeit zurückziehen können.
Für Aufsehen sorgen in Brüssel Formulierungen in dem Gesetz, die sicherstellen sollen, dass die neuen Strukturen für den Datenaustausch „auf die europäische Union beschränkt sind“. EU-Digitalkommissar Thierry Breton verteidigte das im Vorfeld: „Europäische Daten sollten in Europa gespeichert und verarbeitet werden. Daran ist nichts protektionistisches.“
Allerdings sehen einige Jurist:innen, mit denen Politico.eu sprach, in solchen Vorschriften eine mögliche Verletzung internationaler Handelsabkommen. Diese Übereinkünfte im Rahmen der Welthandelsorganisation (WTO) verbieten Zollbarrieren für den Handel.
Wunder Punkt Anonymisierung
Offene Fragen hinterlässt der Verordnungsentwurf bei der Frage, wie wirksam persönliche Daten geschützt werden müssen. Eine Technik für den Schutz der Daten sei Anonymisierung, „die aus den in Frage kommenden Daten nicht-persönliche Daten macht“, wie es im Entwurf heißt. Der Entwurf nennt eine Reihe von Techniken zur Anonymisierung, dazu zählen Pseudonymisierung und Generalisierung, aber auch homomorphe Verschlüsselung und der Differential-Privacy-Ansatz.
Insbesondere Pseudonymisierung ist höchst umstritten. Denn in pseudonymisierten Datensätzen ist es möglich, durch Abgleich mit bekannten Informationen einzelne Personen zu de-anonymisieren. Für einen Skandal sorgte etwa 2017 die Erkenntnis, dass ein öffentlich abrufbares Datenset der australischen Gesundheitsbehörden jede zehnte Person der Identifizierung preisgegeben hatte.
Generell sei der Status „anonym“ bei Daten nur eine Momentaufnahme, betont der Bundesdatenschutzbeauftragte Ulrich Kelber. Welcher Standard für die Anonymisierung von großen Datenmengen ausreichend ist, um wirksam personenbezogene Daten zu schützen, darauf bleibt der Entwurf der EU-Kommission eine Antwort schuldig.
Noch ist unklar, wann die EU-Kommission ihren Gesetzesentwurf genau vorstellt. Eigentlich steht er für kommenden Mittwoch auf der Agenda, allerdings betonte ein Kommissionssprecher auf Anfrage, dass dies noch nicht mit Sicherheit feststehe. Dem Vorschlag der Kommission folgen in den kommenden Monaten eigene Entwürfe des EU-Parlaments und des Rates der Mitgliedsstaaten. Dann wird sich zeigen, was von den Ideen eines „gemeinsamen europäischen Datenraumes“ übrigbleibt.
Leider funktioniert der Link zum Gesetzesentwurf nicht. Könnten Sie diesen erneut verlinken? Herzlichen Dank!
Sollte hier abrufbar sein: https://netzpolitik.org/wp-upload/2020/11/Daten-Governance-Verordnung-Entwurf-Oktober-clean.pdf
Da kann man dann auf Ideen kommen:
Die Polizei ist ja „gemeinnützig“ (weil Verbechensbekämpfung) – also können die Provider hier Verbidnungs- und Bestandsdaten „spenden“. Pseudonymisiert wird alles per Steuer-ID.
Internetprovider dürfen eh schon zu viel mit Daten.
Was wäre eine Welt wert. In der unternehmen das nicht können, dafür die Forschung sich mal mit ranschnorchelt, wenn es „unbedingt sein muss“…
New lawsuit: Why do Android phones mysteriously exchange 260MB a month with Google via cellular data when they’re not even in use?
Ad giant sued after mobile allowances eaten by hidden transfers
https://www.theregister.com/2020/11/14/google_android_data_allowance/
Winfried Veil hat eine detaillierte Kritik am Entwurf veröffentlicht; siehe
https://www.cr-online.de/blog/2020/12/01/datenaltruismus-wie-die-eu-kommission-eine-gute-idee-versemmelt/
Die Kritik in Richtung „mehr zulassen“.
Ich bin da nicht so optimistisch, dass die Flagge „altruistisch“ hochzuhalten da genug ist, um etwas wie die DSGVO mal so eben auszuschalten.
Wir bekommen es ja mit Ausgründungen und Tochtergesellschaften von Konzernen und Datenhändlern, aber auch einfach Kriminellen, teils schon bei der Datenerhebung, spätestens aber beim Zusammenführen mit anderen Datensätzen zu tun. Das Mißbrauchspotential ist extrem, der Anonymisierungsbegriff auf Gesetzesseite in der Anwendung nicht hinreichend.
Eigentlich müssten hier Strafen und Schadensersatz viel schwerer ausfallen als bei der DSGVO – das Problem ist aber, dass die Daten dann schon weg sind. Das ist dann ein nicht korrigierbarer dauerhaft anhaltender Schaden.