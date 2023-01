Zum "Europäischen Datenschutztag", der jährlich am 28. Januar begangen wird, steht 2023 der geplante "EU Data Act" im Mittelpunkt der Aufmerksamkeit: Wird er die Datenschutz-Verordnung aushöhlen, wie Datenschützer befürchten? Dieser Frage stellt sich auch die Datenschutzkonferenz von Bund und Ländern am kommenden Montag im Rahmen einer Veranstaltung.

Freie Bahn für die Datennutzung

Mit ihrem Vorschlag für ein Datengesetz (Data Act) stellte die EU-Kommission im Februar 2022 einen Verordnungsentwurf vor, der sich ausschließlich der Datennutzung widmet. Die "Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung" soll die Datenwirtschaft in der Europäischen Union ankurbeln und dabei die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) unberührt lassen.

Die EU will mit dem neuen Datengesetz mehr Wettbewerbern vorhandene Daten in vernetzten Geräten wie virtuellen Assistenten, Haushaltsgeräten und medizinischen Geräten, Maschinen oder Autos zur Verfügung stellen. Das soll die Entwicklung neuer Geschäftsmodelle befördern.

Ziel ist es, den Zugang zu Daten jedweder Art zu erleichtern, konkrete Verarbeitungsziele verfolgt die Verordnung nicht. Datenschutzexperten wie Malte Engeler kritisieren, dass die Verordnung mit ihrem Ziel eines möglichst umfassenden Datenzugangs von Grund auf mit dem Ziel des Datenschutzes in Konflikt stehen, Datenverarbeitungen auf ein Minimum zu begrenzen.

Der Entwurf sieht vor, dass Unternehmen oder Verbraucher als Anwender vernetzter Geräte entscheiden können, wie mit Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben. Sie sollen die Daten auswerten und an Dritte weitergeben können. Dazu sollen Hersteller einen Datenzugang ermöglichen – für kleine Unternehmen gibt es Ausnahmen. Unter anderem sollen so auch industrielle Daten breiter genutzt werden können.

Recht auf Reparatur

Die Verordnung hat auch das "Recht auf Reparatur" auf dem Schirm. So sieht der Entwurf ausdrücklich vor, dass Daten, die zur Reparatur von vernetzten Geräten notwendig sind, nicht zurückgehalten werden dürfen, um den Aftermarket zu kontrollieren. Damit stemmt sich die Regelung dem Herstellertrend entgegen, Software und Hardware zu miteinander zu verbinden, dass eine Auftrennung etwa zu Reparaturzwecken ohne Wissen und Zustimmung des Herstellers nicht möglich ist.

Eine weitere Regelung befasst sich damit, Lock-In-Effekte anzugehen. So sollen – wie auch in der DSGVO bereits vorgesehen – Nutzer den Anbieter leichter wechseln können, wobei Dateninfrastruktur-Anbieter diese Wechselprozesse aktiv unterstützen müssen.

Auch staatliche Stellen haben ihr Eigeninteresse in den Entwurf eingebracht. So sollen öffentliche Einrichtungen im Falle eines "außergewöhnlichen Bedarfs" gegen eine Aufwandsentschädigung erweiterte Zugangsrechte einfordern können. Dies könnte etwa im Falle einer Naturkatastrophe nötig werden, um schneller und umfassender ein digitales Lagebild erstellen und das Katastrophenmanagement auf sich rasch verändernde Verhältnisse vor Ort einstellen zu können.

Die europäischen Datenschutzbehörden kritisieren, dass die Verordnung bestimmte Produkte oder Dienste, die mit hochsensiblen Daten wie Gesundheitsdaten und biometrischen Daten arbeiten, vom Vorschlag nicht ausgenommen werden. Außerdem zeigen sie sich "sehr besorgt" darüber, dass öffentliche Stellen einen "außergewöhnlichen Bedarf" an Daten reklamieren können, ohne dass dieser näher definiert ist.

In einem gemeinsamen Positionspapier warnen der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), der Deutsche Industrie- und Handelskammertag (DIHK) und die Stiftung Datenschutz davor, dass mit der Verordnung bestehende offene Fragen im Datenschutz nicht gelöst und Rechtsunsicherheit weiter verschärft werden würden.

Dabei müssten sich die Unternehmen noch mit weiteren neuen Rechtsakten wie dem Digital Services Act, dem Digital Market Act und dem kommenden Artificial Intelligence Act befassen. Stephan Wernicke, Chefjustiziar des DIHK, sagte auf einer Veranstaltung im Herbst, dass es auch für Experten herausfordernd sei, hier den Überblick zu behalten: "Es ist verwirrend, denn wir haben selbst für Juristen eine solche Anzahl von unterschiedlichen Regelungen, dass man immer wieder erstaunt sein kann." Im Sinne von Rechtssicherheit, Rechtsklarheit und Praxistauglichkeit genüge es nicht festzustellen, dass die Regulierung der DSGVO vom Datengesetz unberührt bleibe.

Konkret verlangen die drei Einrichtungen in ihrem Positionspapier, dass der Entwurf noch präzisieren müsse, welche Daten als personenbezogen und als schützenswert im Sinne eines Geschäftsgeheimnisses gelten können. Außerdem vermissen sie beim Thema Interoperabilität rechtliche und technische Vorgaben, in welcher Weise die Daten von einem Dienst zu einem nächsten Dienst übertragen werden können. Schließlich erinnern sie daran, dass es noch immer keine Standards zur Anonymisierung gibt, mit denen Unternehmen eine rechtssichere Anonymisierung umsetzen könnten.

Die europäischen Aufsichtsbehörden vertreten zudem schon länger die grundsätzliche Auffassung, dass "personenbezogene Daten nicht als Handelsware betrachtet werden" dürfen. In ihrer Stellungnahme zum Datengesetz warnen sie davor, dass dies letztlich das Konzept der Menschenwürde aushöhlen und das Recht auf Privatsphäre sowie den Datenschutz untergraben würde.

Insbesondere der Missbrauch der Einwilligung der Menschen könne dazu beitragen, warnt Malte Engeler in seinem Aufsatz über den "Konflikt zwischen Datenmarkt und Datenschutz". Die Einwilligung als Instrument einer Datenmarktregulierung funktioniere aufgrund der Dynamiken der Marktwirtschaft nicht. So können über einen "stummen ökonomischen Zwang" zwar mit der Einwilligung eine förmliche Rechtmäßigkeit hergestellt werden, doch materiell führe das zu einem Verlust an Datenschutz. Ein Beispiel dafür sind Tracking und personalisierte Werbung, in die die meisten Menschen einwilligen, sowie die Übermittlung der Bonitätsauskunft bei Wohnraummieten.

Solchen Fehlentwicklungen könne nur mit klaren gesetzlichen Vorgaben begegnet werden, sagt Engeler. Mögliche Vorgaben wären Marktverbote, wie sie heute etwa für die Verwendung von Telekommunikationsverkehrsdaten gelten, oder Datenmarktregulierungen, wie sie etwa beim Thema Videoüberwachungsdienste in Schwimmbädern der Fall wären.

Auch das Max-Planck-Institut für Innovation und Wettbewerb betont in seinem Positionspapier zum Datengesetz, dass die neu gewährten Zugangs- und Übermittlungsrechte mit verbraucherschützenden Grenzen für den Wettbewerb einhergehen müssten. Nur so könnten gesellschaftlich erwünschte Ziele wie etwa eine verbesserte Reparatur- und Wartungsfähigkeit von Geräten erreicht werden.

Angesichts der vielen Konfliktlinien könnte der Europäische Datenschutztag für 2023 den Aufschlag zu einer kritischen Debatte über das europäische Datengesetz machen. Das ist überfällig, denn die Anhörungen des Verordnungsentwurfs im Europäischen Parlament haben längst begonnen.

(vbr)