Zur Suche
Digitalisierung

Mit dem Data Act gibt die EU Daten in die Hände der Menschen 

Der Data Act ist eines der ambitioniertesten Gesetzesverfahren in Europa. Sollten die neuen Regeln wie geplant in Kraft treten, werden Verbraucherinnen und Verbraucher persönliche Daten aus dem Internet of Things (IoT) mit Drittanbietern teilen können.

Lesedauer
© Unsplash/Alexandre Lallemand

Die Ausweitung der Zugriffsrechte auf IoT-Daten wird die europäische Datenwirtschaft entscheidend stärken und dabei helfen, die EU global als digitalen Wirtschaftsstandort zu positionieren. Die Versicherer versprechen sich von der Regulierungsinitiative, Kundinnen und Kunden noch bedarfsgerechtere Produkte anbieten zu können. Allerdings müssen die Anreize zwischen Datenhaltern und Datenempfängern gut ausbalanciert werden, damit sich ein gesundes Marktgleichgewicht einstellen kann.

Weg frei für digitale Innovationen durch Teilung von IoT-Daten

Der Data Act soll den Rechtsrahmen dafür schaffen, dass (IoT-)Daten künftig zwischen Unternehmen und Endverbrauchern (B2C), zwischen verschiedenen Unternehmen (B2B) sowie zwischen Unternehmen und öffentlichen Behörden (B2G) noch besser geteilt werden können.

Die Regelung betrifft alle vernetzten Produkte, die Nutzungs- oder Umweltdaten sammeln und diese über öffentliche Netzwerke kommunizieren können. Hierzu gehören unter anderem Kraftfahrzeuge, Smart-Home-Systeme, Wearables sowie Maschinen aus Industrie und Landwirtschaft.

Die EU-Kommission erwartet durch den Data Act große Entwicklungschancen für die Datenwirtschaft. Unternehmen entlang der gesamten Wertschöpfungskette können profitieren und die EU als digitalen Wirtschaftsstandort positionieren. Allerdings fordern Versicherer zusätzlich, den Zugang zu Fahrzeugdaten sektorspezifisch zu regulieren. Der Data Act allein würde Drittanbietern nicht die gleichen Zugriffschancen zu Kfz-Daten ermöglichen, von denen die Automobilhersteller profitieren.

Data Act sollte nicht DSGVO aushebeln

Mit dem Data Act werden IoT-Daten zur wirtschaftlichen Schlüsselressource erhoben. Die Weiterverarbeitung personenbezogener Daten muss dabei strengen Richtlinien unterliegen. Aus Perspektive des GDV ist die Datenschutz-Grundverordnung (DSGVO) hierfür das geeignete Instrument.

In den aktuellen Berichtsentwürfen spricht sich besonders das Europäische Parlament (EP) jedoch teilweise für eigene Kriterien im Datenumgang aus, etwa bei der Weiterverarbeitung und Löschung von Daten. Dies könnte in der Anwendung des Gesetzes zu Unschärfen im Verhältnis zur EU-weit geltenden DSGVO führen.

Der Data Act erfordert ein fein abgestimmtes Gleichgewicht zwischen den Bedürfnissen der Verbraucher, der Dateninhaber und der Drittparteien. Nutzer benötigen vor allem transparente und einfach verständliche Optionen zur Datenteilung und zum Widerruf. Dateninhaber wiederum sind auf Schutz für ihre Handels- und Betriebsgeheimnisse sowie für ihr geistiges Eigentum angewiesen. Drittparteien müssen sich darauf verlassen können, dass die geteilten IoT-Daten standardisiert sind und ausgelesen werden können.

Öffentliche Behörden sollten nur im Ausnahmefall Zugriffsrechte erhalten

Es ist unstrittig, dass öffentliche Behörden im Krisenfall auf wichtige Daten zugreifen dürfen müssen. Der Gesetzesvorschlag der EU-Kommission sieht jedoch sehr weitreichende Offenlegungspflichten gegenüber Behörden vor, die auch in den Entwürfen des EP und des Ministerrats leider nur unwesentlich begrenzt werden. Aus Sicht der Versicherer sollten die Daten nur in präzise geregelten Extremsituationen öffentlichen Behörden zur Verfügung gestellt werden. 

Dem Vorstoß des EP, nur nicht-personenbezogene Daten mit Behörden zu teilen, sollte gefolgt werden. Pseudonymisierungspflichten oder Anonymisierungspflichten, wie Ministerrat und EU-Kommission sie vorschlagen, würden nach Einschätzung des GDV Unternehmen übermäßig stark belasten. Sie müssten personenbezogene Daten dann vor jeder Weitergabe an öffentliche Einrichtungen aufwändig bearbeiten.

Wie geht es jetzt weiter?

Die Trilogverhandlungen zum Data Act haben im März 2023 begonnen und könnten schon Ende Juni 2023 abgeschlossen sein. Nach einer Übergangsphase von zwei Jahren würde das Gesetz dann praktisch umgesetzt werden. Dies ist angesichts der schnellen Entwicklungen in der Datenwirtschaft nach Ansicht des GDV zu langsam. Um sein volles Potenzial auszuschöpfen, sollte der Data Act spätestens 18 Monate nach der Veröffentlichung im Amtsblatt in Kraft treten.


Inhaltstyp
Schlagworte