Die EU-Gesetzgeber haben ihre Version des Datenschutzgesetzes am Dienstag (14. März) bei einer Plenarabstimmung im Europäischen Parlament in Straßburg mit überwältigender Mehrheit angenommen.
Das Data Act ist ein wegweisender Legislativvorschlag, der darauf abzielt, Hindernisse für die Verbreitung industrieller Daten zu beseitigen, indem die Rechte und Pflichten aller Wirtschaftsakteure geregelt werden, die an der gemeinsamen Nutzung von Daten aus Produkten des Internets der Dinge (IoT) beteiligt sind – vernetzte Geräte, die Daten sammeln und austauschen können .
Die Annahme des Textes durch das Europäische Parlament ebnet den Weg für interinstitutionelle Verhandlungen mit EU-Rat und Kommission, den sogenannten Trilogen. Das erste politische Treffen ist bereits für den 28. März geplant.
Für den Europaabgeordneten Damian Boeselager geht es beim Data Act darum, „von einer heutigen Welt, in der Daten größtenteils auf privaten Servern verborgen bleiben, in eine Zukunft überzugehen, in der Daten weit verbreitet und für innovative Geschäftsmodelle, effizientere Prozesse und bessere Richtlinien weiterverwendet werden Herstellung.”
Umfang
Das neue Datengesetz führt das Prinzip ein, dass Benutzer vernetzter Geräte das Recht haben, auf die Daten zuzugreifen und sie zu teilen, zu deren Generierung sie beigetragen haben. Allerdings sei es ein hochsensibles Thema, welche Art von Daten von den Data-Sharing-Verpflichtungen erfasst werden sollten.
Der EU-Gesetzgeber einigte sich auf die nicht personenbezogenen Daten, die die IoT-Produkte gesammelt haben. Das schließt alle Daten aus, die aus der Verarbeitung und Ableitung „komplexer proprietärer Algorithmen“ resultieren, die beispielsweise Metriken von verschiedenen Sensoren kombinieren.
Business-to-Consumer (B2C)
Das Europäische Parlament hat die Szenarien geklärt, in denen die beteiligten Benutzer Kunden oder Unternehmen sind. Ein B2C-Szenario könnte jemand sein, der einen intelligenten Kühlschrank gekauft hat und die Daten mit einem alternativen Reparaturdienst teilen möchte, der billiger als der Kühlschrankhersteller ist.
Wenn der Datenempfänger ein Verbraucher ist, können die Organisationen, die die Daten kontrollieren, kurz gesagt, der Dateninhaber, den Verbraucher weder direkt noch indirekt belasten. Im Gegenzug erlaubten die Abgeordneten den Verbrauchern, die Daten, die sie im Rahmen des Datengesetzes erhalten hatten, zu verkaufen.
Darüber hinaus hat der EU-Gesetzgeber mehr Transparenzverpflichtungen für die Hersteller eingeführt, die die Art der Daten beschreiben müssen, die ihre Geräte sammeln.
Business-to-Business (B2B)
Da sich das Data Act jedoch auf industrielle Daten konzentriert, ist der wichtigste Teil des Legislativvorschlags die gemeinsame Nutzung von B2B-Daten, da die meisten Nutzer vernetzter Produkte Unternehmen sind. Die Unternehmen können die Daten, die sie erhalten, nicht zur Entwicklung eines Konkurrenzprodukts verwenden, sondern können sie verwenden, um einen alternativen Dienst zu informieren.
In Bezug auf die gemeinsame Nutzung von B2B-Daten kann der Dateninhaber eine Entschädigung verlangen. Handelt es sich bei dem empfangenden Unternehmen um ein KMU, darf die Entschädigung die technischen Kosten für die Bereitstellung der Daten nicht übersteigen.
Im Gegensatz dazu wird großen Unternehmen auch eine Gewinnspanne berechnet, um einen wirtschaftlichen Anreiz für Dateninhaber zu schaffen, Industriedaten zu sammeln. Ebenso können Dateninhaber keine granularen Daten wie die Benutzer monetarisieren, aber die Abgeordneten erlauben ihnen, aggregierte Daten zu verkaufen.
„Durch unsere Vorschläge ist es uns gelungen, die Nutzer in den Mittelpunkt der Datenökonomie zu stellen, indem wir sie in die Lage versetzten, mehr Zugang zu erhalten und die von ihnen generierten Daten zu monetarisieren“, sagte der liberale Europaabgeordnete Alin Mituta gegenüber EURACTIV.
„Wir glauben, dass dies das Gleichgewicht in der Beziehung zum Hersteller wiederherstellen und die Entstehung eines echten europäischen Marktes für Daten unterstützen wird.“
Business-to-Government (B2G)
Das Datengesetz ermächtigt auch öffentliche Stellen, unter außergewöhnlichen Umständen Daten von Privatunternehmen anzufordern, beispielsweise als Reaktion oder zur Verhinderung eines öffentlichen Notfalls.
Die EU-Gesetzgeber beschränkten diese Bestimmungen auf nicht personenbezogene Daten und führten strengere Bedingungen für Behörden ein, um Zugang zu Daten in Privatbesitz zu verlangen, und einen stärkeren Schutz für den wirtschaftlichen Wert der Daten, nachdem sie geteilt wurden.
„Wir müssen Wege finden, dass der öffentliche Sektor die Daten, die er wirklich braucht, auch zum Nutzen der Gesellschaft nutzen kann, während die EU-Datenschutzvorschriften eingehalten werden“, sagte die fortschrittliche Gesetzgeberin Miapetra Kumpula-Natri.
Betriebsgeheimnisse
Ein kritischer Punkt bei der gemeinsamen Nutzung von B2B-Daten ist, inwieweit sie durch den Schutz sensibler Geschäftsinformationen eingeschränkt werden sollten, da die Abgeordneten bestrebt waren, den Respekt vor den Investitionen etablierter Wirtschaftsakteure und der Innovation aufstrebender Wettbewerber in Einklang zu bringen.
Große internationale Hersteller wie Airbus haben mehrere Vorbehalte gegen die B2B-Datenaustauschpflichten erhalten, weil Geschäftsgeheimnisse von chinesischen Konkurrenten erlangt wurden oder die Sicherheit eines Produkts untergraben wurde.
Insbesondere haften die Empfänger der Daten für den Schaden, der dem Dateninhaber durch eine rechtswidrige Weitergabe entsteht.
Cloud-Switching
Das Datenschutzgesetz führt auch Maßnahmen ein, die den Kunden die Möglichkeit erleichtern sollen, den Cloud-Anbieter zu wechseln. Im Mittelpunkt dieses Teils des Textes steht das Konzept der funktionalen Äquivalenz, die Idee, dass die Website oder App in der neuen Umgebung dieselben Funktionalitäten beibehalten sollte.
Ursprünglich schlug der Berichterstatter für diesen Teil des Textes im Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) vor, die funktionale Äquivalenz insgesamt abzuschaffen. Das Konzept wurde jedoch wieder eingeführt, aber die Vertragsmacht der etablierten Anbieter wurde erheblich gestärkt.
Internationale Datenübertragungen
Eine umstrittene Bestimmung des Datengesetzes ist, dass es Cloud-Dienste daran hindert, nicht personenbezogene EU-Daten mit den Behörden eines Drittstaats zu teilen. Der EU-Gesetzgeber hat diesen Teil geändert, um Cloud-Anbieter zu verpflichten, ihre Dateninfrastruktur in Europa anzusiedeln.
Unfaire Vertragsbedingungen
Das Europäische Parlament weitete das Verbot missbräuchlicher Vertragsklauseln in Bezug auf die gemeinsame Nutzung von Daten auf alle Unternehmen aus, im Gegensatz zum ursprünglichen Vorschlag, der nur KMU schützte.
[Edited by Nathalie Weatherald]