Datengesetz der EUDas falsche Versprechen vom fairen Datenreichtum

Der Data Act soll eine faire Datenökonomie schaffen. Das Ziel der EU: Unternehmen sollen mehr Daten für Innovationen und Wertschöpfung erhalten, Verbraucher:innen mehr Kontrolle haben und auch das Gemeinwohl soll profitieren. Fachleute sagen: Das Gesetz wird keines dieser Ziele erreichen.

Eine computergeneriertes Bild auf dem eine Person vor einer Reihe orangener Gegenstände wie Kühlschrank und Waschmaschine steht, alle sind mit weißen Linien vernetzt
Die Zukunft strahlt hell im Internet der Dinge, wenn es nach der EU geht – Public Domain Midjourney: the internet of the things, minimalistic, retrofuturism

Das Internet der Dinge wächst und mit ihm die Datenberge, die wir täglich produzieren. Egal ob Kühlschränke, Autos oder Industriemaschinen, immer mehr Haushalts- und Arbeitsgegenstände sind heute mit dem Internet verbunden. Bis zu 49 Milliarden vernetzte Geräte sollen es im Jahr 2026 sein, prognostiziert die Europäische Union. Doch wem gehören eigentlich die hierbei entstehenden Daten und wer darf sie wie nutzen? Das regelt in der EU bald eine neue Verordnung, der Data Act.

Nach knapp zwei Jahren Verhandlungen haben das EU-Parlament und der Rat die Verordnung im November endgültig beschlossen, ab 2025 wird sie wirksam. Die selbstgesteckten Erwartungen der EU für das Datengesetz, wie es auf Deutsch heißt, sind riesig. Bis 2028 soll es helfen, mehr als 270 Milliarden Euro Wertschöpfung aus Daten aus dem Internet of Things (IoT) zu generieren, sagt die EU-Kommission.

Gleichzeitig verspricht die EU, mit dem Data Act endlich den alten Widerspruch zwischen Datennutzung und Datenschutz aufzulösen. Denn dort, wo es um personenbezogene Daten geht, soll die Datenschutzgrundverordnung unberührt bleiben. Verbraucher:innen sollen sogar mehr Kontrolle über die Daten erhalten, die sie mit ihren Geräten co-produzieren. Und selbst das Gemeinwohl soll profitieren, indem auch der Staat in bestimmtem Situation IoT-Daten für gemeinnützige Zwecke nutzen darf.

Die Daten-Herrschaft der Hersteller brechen

Bislang profitieren vor allem die Gerätehersteller von den Daten aus dem Internet der Dinge. Die Daten aus vernetzten Fahrzeugen landen überwiegend bei den Autofirmen, die Daten aus Fitness-Armbändern bei den Anbietern von Wearables und die Daten aus smarten Landmaschinen bei Traktorproduzenten. Ihnen gehören die Daten zwar nicht, aber sie sind oft die einzigen, die darüber verfügen können.

Die Datenrechtlerin Louisa Specht-Riemenschneider nennt dies die „technisch-faktische Herrschaft“ der Gerätehersteller. Oft sind dies große Konzerne, oft haben sie ihren Sitz in den USA. Kleinere und mittelständische Unternehmen hätten hingegen oft keinen Zugang zu IoT-Daten, sagt die EU-Kommission. Nutzer:innen erst recht nicht. Das gilt für klassische Konsument:innen, die oft gar nicht wissen, wer mit welchem Gerät gerade welche Daten sammelt. Und für Geschäftskund:innen: Auch Betriebe, die smarte Maschinen kaufen oder mieten, hätten oft nur begrenzten Zugang zu den Daten, die daraus entstehen.

Dieses Machtungleichgewicht soll der Data Act ausgleichen und so einen IoT-Datenmarkt schaffen, von dem alle in Europa profitieren. Die Verordnung legt zum Beispiel fest, dass Nutzer:innen von den Datenhaltern (also in der Regel den Geräteherstellern) Zugang zu den Daten aus ihren IoT-Geräten einfordern können. Außerdem dürfen sie künftig Dritten Rechte einräumen, diese Daten zu nutzen. So sollen andere Unternehmen mit diesen Daten zum Beispiel eigene innovative Dienstleistungen entwickeln oder günstige Reparatur-Services anbieten können.

So soll es zum Beispiel für freie Werkstätten einfacher werden, an Diagnosedaten aus den Autos ihrer Kund:innen zu gelangen. Bislang können diese häufig nur von den teureren Vertragswerkstätten genutzt werden. Auch der Wechsel von Cloud-Anbietern soll mit Vorgaben zur Interoperabilität erleichtert werden. Das soll es europäischen Anbietern ermöglichen, die Vormachtstellung der US-Cloud-Riesen Amazon, Microsoft und Google herauszufordern.

„Theoretisch geht die DSGVO vor“

Mit diesen Regeln gilt der Data Act als wichtiger Baustein einer neuen Datenpolitik der EU. Erklärtes Ziel dieser Politik ist seit einigen Jahren, die Verfügbarkeit von Daten zu erhöhen. Mehr Daten heißt mehr Innovationen und das heißt mehr Wohlstand, so lautet die kaum widersprochene Annahme hinter der Datenstrategie der EU. Den Datenschutz will sie dabei nicht aushebeln, sondern als Bestandteil der Datenökonomie sehen. Weiterentwickeln will die EU ihn seit Beschluss der Datenschutzgrundverordnung (DSGVO) im Jahr 2016 allerdings auch nicht, der Fokus liegt klar auf Datenzugang.

Der Hessische Datenschutzbeauftragte Alexander Roßnagel hält das für einen Fehler. Zwar schreibe der Data Act explizit, dass dieser die DSGVO „unberührt“ lasse. In Wirklichkeit werde es jedoch häufig zu Kollisionen und Unklarheiten zwischen den beiden Verordnungen kommen. Der Data Act habe schließlich die Kommerzialisierung von Daten zum Ziel. Statt zu erklären, wie das in Einklang mit der DSGVO funktionieren kann, stellt die EU die beiden Verordnungen nun einfach nebeneinander.

„Theoretisch geht zwar die DSGVO vor“, sagt Alexander Roßnagel. In der Praxis allerdings würden die Handlungsmöglichkeiten, die der Data Act für die Datennutzung eröffnen will, „die Verwirklichungsbedingungen des Datenschutzes teilweise erheblich verändern“. Problematisch sei etwa, dass der Data Act für gleiche oder zumindest ähnliche Sachverhalte andere Begriffe nutze als die DSGVO. So führt der Data Act beispielsweise die Begriffe „Dateninhaber“, „Datenempfänger“ und „Datennutzer“ ein, die teilweise überlappend, aber nicht gleichzusetzen seien mit dem „Verantwortlichen“ und der „betroffenen Person“ aus der DSGVO.

Das würde zu erheblicher Rechtsunsicherheit führen, so Roßnagel, der neben seinem Amt als Datenschutzbeauftragter auch Rechtsprofessor an der Universität Kassel und Sprecher des Forschungsprojektes „Plattform Privatheit“ ist. Erst die Praxis werde zeigen, ob diese Unklarheiten wirklich nicht zulasten des Datenschutzes gehen. Wenn Unternehmen aufgrund der Rechtsunsicherheit besonders zurückhaltend seien, werde der Data Act sein Ziel verfehlen, so Roßnagel. Wenn sie hingegen „die Kommerzialisierung der Daten ins Zentrum ihrer Praxis rücken, wird der Datenschutz leiden“.

Von wegen nicht personenbezogen

Auf Datenschutzbedenken am Data Act haben Verantwortliche der EU immer wieder mit dem Hinweis reagiert, dass er in erster Linie nicht auf personenbezogene Daten abziele, sondern auf Industriedaten aus smarten Maschinen. Das allerdings stimme nicht, sagt Alexander Roßnagel. „Zutreffend ist, dass der Data Act überwiegend gar keine Unterscheidung trifft, sondern für beide Arten von Daten gleichermaßen gilt.“

Die wichtigsten Regelungen würden für Daten gelten, die durch die Nutzung von vernetzten Produkten und Diensten erzeugt werden. Hierbei könnten immer Hinweise auf die Nutzer:innen enthalten sein, erklärt der Jurist.

Ob zum Beispiel Informationen aus einem smarten Kühlschrank als personenbezogene Daten gelten, kann davon abhängen, ob der Datenhalter sie mit anderen Informationen verknüpfen kann. So können statistische Daten über den Energieverbrauch, die Auslastung und die eingelagerten Produkte für sich genommen harmlos sein. Doch wenn sie zusammen mit der IP-Adresse oder Kreditkartennummer der Nutzer:innen verarbeitet werden oder mit einer Smart-Home-App verknüpft sind, lassen sich leicht Personen identifizieren und Verhaltensprofile erstellen.

In der Praxis werde kaum nachvollziehbar sein, ob es sich um personenbeziehbare Daten handelt, sagt Alexander Roßnagel. Auch nicht für die Aufsichtsbehörden. Und das, obwohl es sich um teils hochgradig sensible Daten handeln kann, sind heute doch nicht nur Kühlschränke und Bohrmaschinen mit dem Internet verbunden, sondern auch Sex Toys und Herzschrittmacher.

Dass Verbraucher:innen allerdings schon auch bei der Nutzung von nicht-personenbezogenen Daten Probleme drohen könnten, betont Florian Glatzner von Bundesverband der Verbraucherzentralen. Die Verbraucherschützer haben von Anfang an Bedenken angemeldet, dass Unternehmen die Nutzer:innen über den Tisch ziehen könnten, wenn es um die Gestaltung der Datennutzungsverträge geht. Das ist heute schließlich an der Tagesordnung, wenn man daran denkt, wie Allgemeine Geschäftsbedingungen formuliert sind und wie wenig Wahlmöglichkeiten den Nutzer:innen meistens bleibt.

Nicht auf Augenhöhe mit Unternehmen

Die Datennutzungsverträge sind ein Kernstück des Data Act. Sie sollen es Nutzer:innen von IoT-Geräten ermöglichen, anderen Zugang zu ihren Daten zu geben. Das soll das Datenteilen voranbringen und Datenmärkte schaffen, von denen auch die Nutzer:innen finanziell profitieren. Allerdings unterscheide der Data Act nicht ausreichend zwischen privaten und geschäftlichen Nutzer:innen, kritisiert Florian Glatzner: „Verbraucher:innen können nur schwer abschätzen, welche Konsequenzen ein Datennutzungsvertrag hat.“ Sie seien in Vertragssituationen nicht auf Augenhöhe mit Unternehmen und hätten daher ein besonderes Schutzbedürfnis.

Während Betriebe etwa die Nutzungsverträge von Jurist:innen prüfen lassen können, fehlt den Verbraucher:innen in der Regel diese Möglichkeit. Sie könnten deshalb in Verträge zu ihrem Nachteil gelockt werden. Immerhin: Auf Druck des EU-Parlaments verbietet der Data Act bei solchen Verträgen manipulatives Design, sogenannte Dark Patterns, mit denen Nutzer:innen beispielsweise zum Ankreuzen einer bestimmten Option gedrängt werden.

Aus Sicht der Verbraucherschützer wäre es jedoch besser gewesen, im Gesetz klar zu definieren, zu welchen Zwecken Unternehmen IoT-Daten von Privatpersonen verwenden dürfen. Etwa zur Verbesserung, Wartung oder Reparatur der Geräte der Verbraucher:innen. „Derzeit befürchten wir, dass Unternehmen sich auch ohne den Einsatz von Dark Patterns sehr weitreichende Rechte an den Daten zugestehen lassen und diese für Zwecke verwenden können, die nicht im Interesse der Verbraucher:innen sind – wie etwa die Verwendung der Daten zur Profilerstellung und Werbung“, so Glatzner.

Ein anderer Weg wäre es gewesen, den Data Act von Beginn an weniger komplex zu gestalten. Zum Beispiel hätte man personenbezogene Daten ausklammern können, dann hätte die EU auch Widersprüche mit der DSGVO vermieden. Oder man hätte die Verordnung ausschließlich auf Industriedaten beschränken können, also auf den sogenannten B2B-Bereich, Business-to-Business. Verbraucherschützer Glatzner fürchtet: „Die Kombination aus komplexen, aber gleichzeitig allgemeinen Bestimmungen wird ihre Anwendung in der Praxis für alle Beteiligten sehr schwer machen.“

Hoher Aufwand, kleiner Effekt

Kritik gibt es tatsächlich nicht nur beim Daten- und Verbraucherschutz. Expert:innen zweifeln auch daran, dass der Data Act sein Ziel erreichen wird: die Verfügbarkeit von Daten erhöhen. Das liegt zum einen daran, dass große Teile der Wirtschaft schlicht gar kein Interesse am Datenteilen haben, wie die einhellige Kritik aus der Digitalindustrie an der Verordnung zeigt. Es liegt jedoch auch am Data Act selbst.

„Insgesamt erwarte ich, dass der Data Act einen sehr hohen Compliance- und Überwachungsaufwand nach sich zieht“, konstatiert etwa Aline Blankertz von Wikimedia Deutschland. „Demgegenüber stehen vermutlich bestenfalls kaum spürbare Verbesserungen auf den betroffenen Märkten, weil der Data Act so zögerlich vorgeht und komplexe Prozesse schafft.“ Wir haben die Ökonomin um eine Einschätzung gebeten, ob die Verordnung dazu führen wird, dass künftig mehr Daten für gemeinnützige Zweck eingesetzt werden können. Ihre Antwort: wohl kaum.

Die Zivilgesellschaft beispielsweise hat die Verordnung gar nicht im Blick. Man kann sich aber auch leicht Szenarien ausdenken, in denen staatliche Akteure mit IoT-Daten Gutes tun können: Verkehrsministerien könnten statistische Daten aus vernetzten Fahrzeugen nutzen, um Verkehrsflüsse umweltschonend zu steuern. Krankenkassen könnten anonymisierte Daten aus Fitnessarmbändern für die Versorgungsplanung einsetzen. Die Bundesnetzagentur könnte mit Konnektivitätsdaten überprüfen, ob Internetanbieter ihre Breitbandversprechen einhalten. Und überhaupt könnte man erstmalig verlässlich messen, wie viel Energie wir eigentlich brauchen, wenn aus jedem Haushaltsgegenstand eine vermeintlich smarte Maschine wird.

All dies sieht der Data Act allerdings nicht vor. Stattdessen seien die Bestimmungen für das Datenteilen von Unternehmen zum Staat „recht eng gefasst und zwar beschränkt auf Notsituationen“, kritisiert Blankertz. Gemeint sind hier Krisen- und Ausnahmesituationen wie etwa die Corona-Pandemie oder Naturkatastrophen. „Darüber hinaus können Staaten weiterhin keinen Datenzugang einfordern, um zum Beispiel Leistungen der Daseinsvorsorge zu verbessern.“ Daran hatte es aus der Zivilgesellschaft bereits früh Kritik gegeben, sie blieb unbeachtet.

Die Daten-Herrschaft wird nicht gebrochen

Bleibt also ein letztes Versprechen des Data Act: dass er die Datenverfügbarkeit für innovative Unternehmen erhöhen wird. Es ist der Kern der neuen Verordnung – und auch hier gibt es große Zweifel, ob sie dieses Ziel erreichen kann.

Skeptisch ist zum Beispiel Wolfgang Kerber, Professor für Volkswirtschaft an der Universität Marburg. Er sagt: Die EU habe die dominante Stellung der IoT-Hersteller zwar richtigerweise als das Hauptproblem erkannt. Allerdings sei sie davor zurückgeschreckt, diese Vormachtstellung konsequent zu brechen. Ihre Position werde durch die neuen Zugangsrechte höchstens ein wenig geschwächt. Das liege vor allem daran, dass „die konkrete Ausgestaltung des Datenzugangs- und Datenteilungsmechanismus im Data Act durch sehr viele Restriktionen und Anforderungen, hohe Transaktionskosten, Ausnahmen und Unklarheiten geprägt“ sei.

Insgesamt seien die Hürden für das Datenteilen weiter zu hoch. So müssen zum Beispiel Drittunternehmen, die von Nutzer:innen Datenzugang erhalten, den Datenhaltern eine Kompensation zahlen. Außerdem, so kritisiert auch Aline Blankertz von Wikimedia, könnten die Hersteller dem Datenteilen unter Umständen widersprechen. Zum Beispiel, wenn sie sich auf Geschäftsgeheimnisse berufen. Hinzu kommt eine Klausel, die es Dritten verbietet, mit den geteilten Daten Konkurrenzprodukte zu betreiben, eine erhebliche Wettbewerbsbeschränkung.

Wolfgang Kerber geht deshalb davon aus, dass der Data Act „nur in sehr beschränktem Umfang“ Daten für innovative Wettbewerber zur Verfügung stellen wird. Selbst auf Reparatur- und Wartungsmärkten werde sich die Situation kaum verbessern, so seine Prognose. Den Grund für das zögerliche Vorgehen der EU sieht Kerber in der falschen Annahme, dass IoT-Hersteller wirtschaftliche Anreize bräuchten, um ihre Produkte auf den Markt zu bringen. „Ein solches generelles Anreizproblem existiert aber nicht, da IoT-Geräte an die Nutzer:innen verkauft werden, so dass die Investitionskosten über die Verkaufspreise gedeckt werden können.“

Entsteht ein Quasi-Eigentumsrecht an Daten?

Am Ende könnte der Data Act sogar das Gegenteil des erhofften Effekts erreichen, warnt Kerber. Statt die Herrschaft der Hersteller über die Daten aus IoT-Geräten zu brechen, könnten sie sich ihre Verfügungsgewalt künftig vertraglich fixieren lassen. Statt einem Schub für das Datenteilen würde die Verordnung dann ein Quasi-Eigentumsrecht an nicht-personenbezogenen Daten bringen.

„Der europäische Gesetzgeber sollte sehr vorsichtig sein, dass der Data Act nicht auf einen längerfristigen Pfad zur Entstehung eines expliziten Eigentumsrechts in Bezug auf nicht-personenbezogene Daten führt“, warnt der Wirtschaftswissenschaftler. „Dies würde zu einer weiteren starken Ballung von Datenmacht mit vielerlei negativen Auswirkungen auf Innovation, Wettbewerb und die freien Wahlmöglichkeiten von Individuen und Unternehmen beitragen.“

5 Ergänzungen

  1. Die Eu ist eine Weiterentwichlung der Europäischen WIRTSCHAFTS Gemeinschaft und so liegt der Scherpunkt der EU auf Wirtschaft und nicht auf dem Bürger. Das erklärt, warum bürgerfeindliche Regelungen an der Tagesordnung sind. Zudem hat die EU den Konstruktionsfehler, daß nicht alle Macht beim Paralament liegt, sondern die jeweiligen Regierungen mitbestimmen. Genau deshalb ist der zweite Scherpunkt die Überwachung aller Bürger, um die Machteliten zu festigen. Die EU mag gut gedacht sein, aber auf jeden Fall ist sie schlecht gemacht. Die Regierungen müssen zwingend entmachtet werden und das Parlament muß frei wählbar sein, d. h. jeder Kandidat in der ganzen EU muß für jeden Bürger, völlig unabhängig vom Land, wählbar sein. Dazu müssen die Parteien entmachtet werden und eine freie direkte Urwahl installiert werden. So hätte die EU eine Zukunft. Als erstes müßte aber das gerede von Beitrittsverhandlungen für Länder aufhören, die nicht im Ansatz die Anforderungen für einen beitroitt erfüllen, z. B. die Ukraine.

    1. ???
      „bürgerfeindliche Regelungen an der Tagesordnung“ ??? Nee! Die DSGVO (und sehr angenehme Folgen daraus, … Max Schrems & EUGH, etc.) verdanke ich eben bürgerfreundlichen Erfolgen der EU! Gerade ist die Medienfreiheitsverordnung durch den Trilog gekommen: „nationale Sicherheit“ ist raus, Redaktions-Unabhängigkeit ist d’rin, u.a.m.!, davor hatte gerade Polen zurückgefunden zu einer Regierung, die die Gewaltenteilung wiederherstellen wird – und an diesem sehr glücklichen Erfolg ist die EU mit ihren Institutionen beteiligt: sie kann – ein kleines bisschen – schützen vor (nationalem) Unrecht. Ich könnte hier noch immer weiter aufzählen, wieso ich ungeheur froh darüber bin, dass wir diese EU haben, die unsere Selbstbestimmung besser vor bösartigen Autoritären schützt, als unsere nationalen Institutionen es schaffen!

      „Parteien entmachtet werden und eine freie direkte Urwahl “ ??? Nee. Umso mehr meiner Mitbürger ihre bösartige Seite zeigen: rechtsradikale, menschenverachtende Politiker wählen, umso mehr werde ich für die repräsentative Demokratie der Parteien sein!, und bloß keine direkte Demokratie versuchen wollen. Der Berlin-Monitor (jeder 4. hier hat entweder nicht aufgepasst im Geschichtsunterricht (?), oder will sogar die Zerstörung unseres freiheitlichen vergleichsweise erstaunlich fairen Lebens (?)) sagt überdeutlich, dass wir die EU brauchen, um Gewaltenteilung und Freiheit nicht zu verspielen.
      Wenn der Verbesserungsvorschlag gewesen wäre, im EU-Rat die Einstimmigkeitsnotwendigkeit aufzubrechen, dem EUGH ein Gefängnis zu geben wie dem Internationalen Strafgerichtshof (um EU-Charta-Beuger zu inhaftieren), wäre ich vielleicht einverstanden gewesen… – dann aber auch mit dem Ziel, die Ukraine gerade möglichst schnell in die EU zu holen (dafür Länder, die sich nicht an die Charta halten: Ungarn, auszuschließen!).

  2. Fair geht nur insofern, als dass Rückrufbarkeit, Vergütungen, vor allem aber Transparenz gesetzt sind. Am einfachsten kämen wir auch von der Softwarewualität voran, würde man personalisierte Werbung verbieten, sowie Datenhandel weitestgehend unterbinden. Die Geschäftsmodelle müssen weg, dann hätte Nützliches wieder mehr Raum zum Atmen. Soweit haben wir einen Krieg gegen Nutzen an sich gebucht, den wir derzeit auch zu verlieren scheinen, als Menschheit.

  3. Der Atom-Strom wurde der Menschheit vor über einem halben Jahrhundert ja auch einmal zum Nulltarif versprochen, weil sich die Messung und Erstellung von Abrechnungen nicht lohnen würde (verbatim: „Too cheap to meter!“ – „Zu billig zum messen!“). Es kam dann doch anders (in Form von Milliarden-Subventionen beim Bau, und Milliarden-Renditen für die Investoren).
    Mich beschleicht hier das Gefühl, dass es wieder so laufen könnte.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.