Einigung auf Data Act der EU: Mehr Nutzerrechte fürs Digitale

Berlin taz | Die EU-Mitgliedsstaaten und das EU-Parlament haben sich auf ein weiteres Gesetz zur Regulierung der digitalen Sphäre geeinigt: den Data Act. Er soll unter anderem regeln, welche Rechte Ver­brau­che­r:in­nen und Unternehmen in Bezug auf Daten, die bei der Nutzung von digitalen Geräten anfallen, haben. Das neue Gesetz werde „eine florierende Datenwirtschaft entstehen lassen, (…) aber zu unseren europäischen Bedingungen“, sagte EU-Binnemarktkommissar Thierry Breton nach der Einigung.

Vernetzte Alltagsgeräte vom Auto bis zum Staubsaugerroboter sind zunehmend im Einsatz. Bislang gibt es für viele Fälle keine Regelung dazu, wer die Hoheit über die bei der Nutzung entstehenden Daten hat, wer auf sie zugreifen, sie eventuell sogar verkaufen darf. Hersteller lassen sich auf vertraglicher Basis gerne möglichst weitgehende Rechte einräumen, aber eine einheitliche und umfassende Rechtsgrundlage fehlt bislang. Das ist einer der Punkte, an dem der Data Act ansetzen soll.

Der Volltext der Einigung wird voraussichtlich erst in den kommenden Wochen veröffentlicht, lediglich einige Eckpunkte gaben die EU-Gremien bekannt: So sollen Nut­ze­r:in­nen das Recht bekommen, auf Daten, die sie mittels digitaler Geräte erzeugen, zuzugreifen. Bislang werden die Rohdaten etwa von Fitnessuhren oder -apps oft von den Herstellern unter Verschluss gehalten und nur die Ergebnisse der Datenauswertung übermittelt. Darüber hinaus soll der Wechsel von Dienstleistern zur Datenverarbeitung wie etwa Cloud-Anbietern künftig erleichtert werden.

„Die heutige Einigung ermöglicht es nun jeder Person, die ein vernetztes Gerät – wie ein E-Bike – besitzt, künftig die darüber erzeugten Daten selbst abzurufen und, mit gewissen Einschränkungen, auch an Dritte zur weiteren Nutzung zu geben“, sagt der Grünen-Bundestagsabgeordnete und Obmann im Digitalausschuss Tobias Bacherle.

Verbraucherschützer enttäuscht

Besorgt zeigte er sich allerdings angesichts dessen, dass öffentliche Stellen in Notfallsituationen – etwa bei Naturkatastrophen – Zugriff auf bei Unternehmen liegende Daten von Nut­ze­r:in­nen erhalten können. Immerhin habe man sich hier im Verlauf der Verhandlungen auf pseudonymisierte Daten geeinigt. Bei pseudonymisierten Daten wird aus einem Datensatz in der Regel der Name entfernt, die Daten lassen sich aber über andere Merkmale einer Person zuordnen.

Als „enttäuschend für Verbraucher:innen“ bezeichnet dagegen der Verbraucherzentrale Bundesverband (vzbv) die Einigung. „Ein klarer Nutzen ist für sie nicht erkennbar. Stattdessen könnte der Datenschutz geschwächt und Ver­brau­che­r:in­nen überfordert werden“, sagt Verbandsvorständin Ramona Pop. Unklar bleibe außerdem, wie Ver­brau­che­r:in­nen geschützt werden, die sich freiwillig für eine Weitergabe ihrer Daten entscheiden. Auch hier sei ein Schutz notwendig, weil die Folgen nur schwer zu überblicken seien.

Der Digitalverband Bitkom und andere Wirtschaftsverbände zeigten sich dagegen besorgt über die Zukunft von Geschäftsgeheimnissen. „Es muss insbesondere vermieden werden, dass durch die Pflicht zum Teilen von Daten Geschäftsgeheimnisse in die Hände von Wettbewerbern oder uns weniger freundlich gesonnenen Ländern geraten“, so Bitkom-Präsident Ralf Wintergerst.

Diese Befürchtung hatte auch im Laufe der Verhandlungen eine große Rolle gespielt. Bereits der Entwurf des Rates vom März enthält deshalb eine Klausel, die es Unternehmen erlaubt, bei Umständen, die „ernsthafte Schäden“ für das Unternehmen zur Folge hätten, die Herausgabe von Daten an Nut­ze­r:in­nen zu verweigern.

Das Gesetz soll 2025 in Kraft treten. Es muss im nächsten Schritt noch formal von EU-Parlament und -Rat bestätigt werden.