Hintergrund
/ 21. März 2022

Die Datenstrategie der EU: Das müssen Sie wissen

Die europäische Datenstrategie hat zum Ziel, den Datenfluss und die wirtschaftliche Verwertung von Daten in der EU fair und zum Wohle aller zu regeln. Für Datenschutzbeauftragte und Unternehmen stellt sich die Frage, was das genau für sie bedeutet und welche Auswirkungen es auf den Datenschutz hat.

Die europäische Kommission hat Großes vor. Europa soll Vorreiter einer digitalen Gesellschaft werden. Wie das gelingen soll, hat die Kommission im Rahmen ihrer europäischen Datenstrategie vorgestellt und das kommende Jahrzehnt „zur digitalen Dekade Europas“ erklärt.

Datenvermehrung statt Datenminimierung?

Es handelt sich dabei nicht nur um bloße Absichtserklärungen. Der EU-Gesetzgeber arbeitet schon seit Längerem an mehreren Verordnungen wie dem Data Act und dem Data Governance Act. Dabei geht es v.a. um eine Frage: Welche Vorschriften sind nötig, um den Datenfluss und die wirtschaftliche Verwertung von Daten in der EU zu regeln?

Das klingt wie ein Kurswechsel. Denn statt Datenminimierung heißt es nun Datenvermehrung. Grund genug, die neuen Vorschriften unter die Lupe zu nehmen und zu klären, wie das Verhältnis zum Datenschutz ist und womit Unternehmen rechnen müssen.

Die europäische Datenstrategie

Die Kommission will die Digitalisierung massiv vorantreiben. Nicht nur Unternehmen, sondern auch öffentliche Stellen sollen viel stärker Cloud-Services, Big Data und künstliche Intelligenz nutzen.

Bisher liegen die Daten in den Händen weniger Tech-Giganten. Das beeinträchtigt nicht nur den Wettbewerb, sondern hemmt Innovation. Außerdem bleiben die meisten Daten ungenutzt, aus „Datenschutzgründen“, wie es häufig heißt. Dabei ließe sich die Wertschöpfung durch Datenverknüpfung etwa im Bereich Mobilität, Gesundheit oder Umwelt erheblich steigern.

Doch wie lassen sich Daten wirtschaftlich nutzen, ohne gegen das Recht zu verstoßen? Die EU-Kommission hat gleich mehrere Entwürfe für Rechtsverordnungen zur Datennutzung vorgelegt. Zentraler Ausgangspunkt ist dabei die Idee, Daten innerhalb der EU zwischen mehreren Akteuren zu teilen, sodass jeder vom wirtschaftlichen Wert der Daten profitiert.

Dahinter steckt folgender Gedanke: Die EU will sich aus der Abhängigkeit von Technologieunternehmen lösen. Wie das im Einzelnen gelingen soll und welche Rolle der Datenschutz dabei spielt, zeigt ein Blick auf die einzelnen Verordnungen.

Überblick: Die Bestandteile der europäischen Datenstrategie und ihre Auswirkungen auf den Datenschutz

Überblick: Die Bestandteile der europäischen Datenstrategie und ihre Auswirkungen auf den Datenschutz

Der Data Governance Act

Der Data Governance Act (DGA) schafft zwei Instrumente, um Daten auszutauschen: die Datenmittler und den Datenaltruismus.

Datenintermediäre bzw. Datenmittler

Eine zentrale Rolle spielen die sogenannten „Datenintermediäre“, auch als Datenmittler bezeichnet. Ihre Aufgabe ist es, Daten von Einzelpersonen oder Unternehmen zu sammeln, zu verwalten und anschließend an Dritte weiterzuleiten. Dritte können anschließend die Daten für eigene Zwecke weiterverwenden.

Der Datenmittler muss eine neutrale Stelle sein, die die verwalteten Daten nicht für eigene Zwecke verarbeiten und auch kein wirtschaftliches Eigeninteresse an den Daten haben darf. Damit will die EU verhindern, dass Datenmonopolisten wie Google oder Meta (ehemals Facebook) ihre Marktmacht weiter ausbauen. Außerdem muss der Datenmittler einen umfangreichen Katalog an Anforderungen erfüllen. Dazu gehört u.a., dass der Datenmittler

  • sich vor Aufnahme seiner Tätigkeit bei der zuständigen Behörde anzeigt,
  • ein faires und transparentes Verfahren für den Datenzugang vorsieht und
  • betrügerische oder missbräuchliche Praktiken verhindert.

Vor allem zum Schutz vor Cyberangriffen muss der Datenmittler technische, rechtliche und organisatorische Maßnahmen treffen. Verstößt der Datenmittler gegen diese Pflichten, kann die zuständige Behörde Geldstrafen verhängen oder behördliche Maßnahmen anordnen.

Die Idee eines Datenmittlers ist nicht neu. Denn auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) enthält eine vergleichbare Regelung. Nach § 26 TTDSG können anerkannte Dienste zur Einwilligungsverwaltung, sogenannte Personal Information Management Services (PIMS), Einwilligungen der Nutzer einholen und verwalten.

Auch wenn die Regelung zu PIMS im TTDSG den Vorschriften zum Datenmittler im DGA ähneln, so verfolgen beide Instrumente unterschiedliche Ziele:

  • PIMS sollen die Datenverarbeitung einschränken, indem sie die Daten nur an Dritte weiterleiten, wenn der Nutzer seine Einwilligung erteilt hat.
  • Der Datenmittler nach dem DGA soll hingegen anderen Akteuren Zugang zu Daten verschaffen und die Datenverarbeitung ausweiten.
Wichtig

Es liegt auf der Hand, dass der Datenmittler eine Schlüsselrolle einnimmt. Derjenige, der Daten sammelt und verteilt, muss eine besondere Rechtsstellung haben. Nur so lässt sich Vertrauen aufbauen und marktmissbräuchliches Verhalten verhindern. Daher ist dem Datenmittler ein ganzes Kapitel im DGA gewidmet.

Datenaltruismus: die Datenspende

Ein weiterer innovativer Ansatz im DGA ist der sogenannte Datenaltruismus: Einzelpersonen und Unternehmen sollen ihre Daten zum Wohle der Allgemeinheit zur Verfügung stellen. Die „gespendeten“ Daten fließen etwa in Forschungsvorhaben ein oder dienen dazu, öffentliche Dienstleistungen zu verbessern. Hier ist ebenfalls geplant, dass eine unabhängige Stelle die zur Verfügung gestellten Daten verwaltet.

Die Kommission stellt sich beispielsweise vor, dass Personen ihre Gesundheitsdaten aus der elektronischen Patientenakte oder ihre Standortdaten, die von vernetzten Endgeräten wie Smartphones oder Fahrzeugen stammen, teilen.

Beispiel: Die Datenspende-App des RKI

Sollen Nutzer wirklich Gesundheitsdaten spenden? Schlimmer geht es wohl kaum, könnte der Datenschützer meinen. Doch die Hintergründe überzeugen. Schon heute gibt es Initiativen zur „Datenspende“ wie die App des Robert-Koch-Instituts (RKI). Seit dem Start der Corona-Datenspende-App des RKI haben Nutzinnen und Nutzer mehr als 458 Millionen Daten gespendet.

Dieses Beispiel zeigt, weshalb eine europaweite Regulierung sinnvoll ist. Die gespendeten Daten liegen derzeit nur bei einer Stelle, dem RKI. Würden die Daten innerhalb Europas geteilt, ließen sie sich mit anderen Daten vergleichen. Die Wissenschaft könnte auf der Grundlage umfangreicher Datensätze wichtige Erkenntnisse im Kampf gegen die Pandemie erzielen.

Doch hier ist Vorsicht geboten: Die Vorschriften des DGA regeln nur, wie mit Daten umgegangen werden soll. Ob die Daten überhaupt verarbeitet werden dürfen, richtet sich weiterhin nach der Datenschutz-Grundverordnung (DSGVO) und nach der ePrivacy-Richtlinie bzw. der Umsetzung im deutschen Recht, dem TTDSG.

Zentraler Faktor für die Datenspende: Vertrauen

Ein Blick auf die Nutzerzahlen zeigt, wie wichtig das Vertrauen ist, dass die Verantwortlichen sorgsam mit den gespendeten Daten umgehen. Die Corona-Warn-App, die ebenfalls das RKI anbietet, wurde mehr als 40 Millionen Mal heruntergeladen.

Im gleichen Zeitraum gab es zwar lediglich 530.000 Nutzer und Nutzerinnen der Corona-Datenspende-App. Diese haben aber 458 Millionen Daten gespendet. Eine gesetzliche Regelung könnte nicht nur die Akzeptanz der Nutzer für einen Datenspende erhöhen, sondern auch für diejenigen Rechtssicherheit bringen, die diese Daten weiterverwenden möchten.

Musterformular für Einwilligungen

In der Regel wird es auf eine Einwilligung der Nutzer und Nutzerinnen hinauslaufen. An dieser Stelle kommt die EU-Kommission ins Spiel:

  • Sie soll sicherstellen, dass betroffene Personen einerseits ihre Einwilligung leicht erteilen können.
  • Andererseits sollen diejenigen, die mit den gespendeten Daten umgehen, die Rechtssicherheit haben, dass die Einwilligung die datenschutzrechtlichen Anforderungen der DSGVO erfüllt.

Daher regelt der Data Governance Act, dass die Kommission ein Musterformular für Einwilligungen entwerfen soll. Das Formular ist dann für alle Mitgliedstaaten einheitlich gestaltet. Die betroffenen Personen können es elektronisch oder schriftlich zur Verfügung gestellt bekommen. Davon profitieren alle. Denn die Musterformulare dienen auch für andere als Vorlage, um eine wirksame Einwilligung einzuholen.

Der Data Act

Mit dem Data Act geht die Kommission noch einen Schritt weiter. Sie will die Datennutzung von vernetzten Geräten (IoT = Internet of Things) stärker regulieren. Jeder, der Sprachassistenten oder vernetzte Geräte wie Überwachungsanlagen oder Staubsaugerroboter verwendet, erzeugt enorme Datenmengen.

Unklar war bisher, wem diese Daten „gehören“. Sensordaten aus dem vernetzten Fahrzeug oder Telemetriedaten von Betriebssystemen nutzen derzeit nur die Hersteller, die diese Dienste anbieten. Genau das will die Kommission ändern, um Industriedaten und Daten vernetzter Geräte fairer zu verteilen.

Zugang zu den selbst erzeugten Daten

Nach dem Data Act soll jeder Nutzer auf Anfrage unverzüglich, unentgeltlich und ggf. in Echtzeit Zugang zu den Daten bekommen, die er selbst erzeugt hat. Verbraucher können ihre Daten selbst verwenden oder an andere Unternehmen und öffentliche Stellen weiterleiten.

Doch wieso braucht es ein Gesetz zur Datenherausgabe, wenn doch jeder das Recht auf Datenportabilität gemäß Art. 20 DSGVO hat?

  • Das Recht auf Datenportabilität nach der DSGVO gilt nur in wenigen Fällen, und zwar wenn der Nutzer personenbezogene Daten bereitgestellt hat.
  • Der Data Act erstreckt das Recht auf Datenzugang auch auf Daten, die nicht personenbezogen sind.
  • Außerdem dürfen Hersteller und Anbieter Daten, die das Produkt oder der Dienst erzeugt hat, nur auf der Grundlage eines Vertrags mit dem Nutzer verwenden.
  • Das heißt im Klartext, dass künftig auch für die Verarbeitung nicht personenbezogener Daten eine Rechtsgrundlage erforderlich ist.

Die Wirtschaft reagierte wenig begeistert auf diese Entwürfe. Denn der Data Act schränkt die Vertrags- und Wirtschaftsfreiheit der Unternehmen erheblich ein. Außerdem stehen Geschäftsgeheimnisse der Hersteller auf dem Spiel.

Dieses Dilemma hat die Kommission erkannt und an wenigen Punkten gegengesteuert. So dürfen Nutzer oder Unternehmen die erhaltenen Daten nicht verwenden, um konkurrierende Produkte zu entwickeln. Außerdem dürfen sie die Daten nicht an „Gatekeeper“, also Datenmonopolisten wie Apple, Amazon, Facebook und Google weitergeben.

Wichtig

Für Unternehmen bedeutet der Data Act erhebliche Veränderungen. Sie müssen nicht nur Prozesse einführen, um auf Anfrage Zugang zu den Daten zu gewähren. Vielfach wird es auch nötig sein, Vertragsbedingungen anzupassen. Will der Unternehmer Daten nutzen, um Produkte zu entwickeln oder zu verbessern, muss er dies vorher mit dem Nutzer oder der Nutzerin vertraglich vereinbaren. Unerheblich ist, ob es sich dabei um personenbezogene Daten handelt oder nicht.

Der Digital Services Act

Der Digital Services Act (DSA) zielt darauf ab, Online-Plattformen zu regulieren und für eine einfache Rechtsdurchsetzung innerhalb Europas zu sorgen. Die Vorschriften richten sich an

  • Internetanbieter,
  • Cloud- und Webhosting-Dienste,
  • App-Stores,
  • Social-Media-Plattformen und
  • Online-Marktplätze.

Im Fokus stehen Online-Dienste, die mehr als 10 % der EU-Bürger erreichen. Kleine und mittlere Unternehmen (KMU) sind von den Pflichten ausgenommen.

Unternehmen, die unter den Digital Services Act fallen, müssen u.a. Maßnahmen ergreifen, um illegale Produkte oder Inhalte frühzeitig zu erkennen und zu entfernen. Große Plattformbetreiber sollen Algorithmen offenlegen, um transparent zu machen, nach welchen Regeln Nutzerinnen und Nutzer Produkte, Nachrichten und weitere Inhalte angezeigt bekommen.

Bei einem Verstoß gegen den DSA drohen den Unternehmen Bußgelder in Höhe von bis zu 6 % des Jahresumsatzes. Zudem müssen Unternehmen den Ermittlungsbehörden Straftaten von Nutzerinnen und Nutzern melden und auf Anfrage Nutzerdaten herausgeben.

Kritik von Datenschutz-Seite

Beim Digital Services Act stoßen v.a. die Pflichten gegenüber Ermittlungs­behörden bei Datenschützern auf Kritik. Denn Behörden könnten Zugang zu sensiblen Daten wie Nachrichten oder Surfverhalten bekommen.

In Deutschland enthält das Netzwerkdurchsetzungsgesetz (NetzDG) vergleichbare Regelungen. Anbieter von Social-Media-Plattformen sind schon heute nach dem NetzDG verpflichtet, ein Beschwerdeverfahren vorzusehen, Transparenzberichte vorzulegen und rechtswidrige Inhalte zu entfernen.

Der Digital Markets Act

Auch der Digital Markets Act (DMA) soll den europäischen Binnenmarkt stärken. Der DMA richtet sich ausschließlich an große Tech-Unternehmen wie Google, Apple, Meta, Amazon und Microsoft. Aber auch europäische Unternehmen mit größter Marktbedeutung wie Booking.com könnten von den Regeln des DMA betroffen sein.

Der DMA verpflichtet Anbieter von Messengern und Social-Media-Plattformen, interoperable Dienste anzubieten. Eine WhatsApp-Nachricht soll also auch über Threema und Signal eingehen. Zudem müssen Anbieter wie Apple künftig auch Zugang zu anderen App-Stores gewähren.

Streitpunkt verhaltensbasierte Werbung

Datenschutzrechtlich relevant ist der DMA im Hinblick auf verhaltensbasierte Werbung. Schon bisher war dafür eine Einwilligung nach der DSGVO nötig.

Einige EU-Parlamentarier forderten eine Regelung im DMA, die verhaltensbasierte Werbung vollständig verbietet. Damit hätten sich zwar zahlreiche Datenschutzfragen geklärt, und Einwilligungs-Banner wären auf vielen Websites endlich entbehrlich. Doch mittelbar hätte das massive wirtschaftliche Folgen auf Unternehmen. Denn Online-Werbung ist im Verhältnis zu konventioneller Werbung nicht nur günstiger, sondern auch effizienter.

Der aktuelle Stand des DMA sieht einen Kompromiss vor und verbietet es Gatekeepern, Nutzungsdaten von Minderjährigen für kommerzielle Zwecke wie etwa Direktmarketing, Profilerstellung und verhaltensbasierte Werbung zu verwenden. In allen anderen Fällen müssen die Anbieter vorab eine wirksame Einwilligung für verhaltensbasierte Werbung von den Nutzerinnen und Nutzern einholen.

Datenschutzbeauftragte mehr denn je gefordert

Auch wenn die EU den freien Datenverkehr massiv fördern will, heißt das noch lange nicht, dass Datenschützer überflüssig werden. Ganz im Gegenteil. Alle Rechtsakte stellen klar, dass Datenspende, Datenzugang und das Weiterverwenden von Daten nur im Einklang mit der DSGVO und der ePrivacy-Richtlinie erlaubt sind.

Selbst wenn die neuen Verordnungen frühestens 2023 in Kraft treten, können Unternehmen schon jetzt davon profitieren. Viele Fragen im Datenschutzrecht sind zwar nach wie vor unklar. Bedenkt man jedoch, welchen Weg die EU mit der europäischen Datenstrategie einschlägt, kann das bei der rechtlichen Bewertung helfen. Denn schon heute bestimmt die DSGVO in Artikel 1, dass der freie Verkehr personenbezogener Daten nicht aus Gründen des Datenschutzes eingeschränkt oder verboten werden darf.

Praxis-Tipp

Für Datenschutzbeauftragte bedeutet das insgesamt, dass sie diese weiteren gesetzlichen Regelungen kennen müssen. Zudem sind sie auch bei der Umsetzung unverzichtbar. Data Act, Data Governance Act, Digital Markets Act oder Digital Services Act – stets sind auch personenbezogene Daten betroffen.

Kristin Benedikt