Eine Einführung in das EU-Datengesetz

In den letzten Jahren war der europäische Gesetzgeber sehr aktiv bei der Regulierung des digitalen Raums. Dazu gehört die Verabschiedung einer Reihe von Gesetzen, die sich mit Daten- und KI-Themen befassen. Während das EU-KI-Gesetz und die hitzige Debatte darüber die meiste Aufmerksamkeit auf sich ziehen, sind andere wichtige Regelungen "still und leise" in Kraft getreten. Beispiele hierfür sind der Data Governance Act und der Data Act, wobei letzterer aufgrund seiner konkreten Auswirkungen auf Hersteller von IoT-Geräten, Diensteanbieter und Start-ups von besonderem Interesse ist. Das Datengesetz ist erst kürzlich, am 11.01.2024, in Kraft getreten und gilt ab September 2025. Doch worum geht es eigentlich? Was will es erreichen und welche Anforderungen stellt es an die verschiedenen Akteure? Diese und weitere Fragen beantworte ich in meinem Blog-Beitrag.

Das Datengesetz in Kürze

Die Rechte und Pflichten in Bezug auf personenbezogene Daten wurden in der Datenschutz-Grundverordnung (DSGVO) ausführlich behandelt und definiert, was jedoch nicht der Fall ist, wenn es um nicht personenbezogene Daten geht, die von IoT-Geräten erzeugt werden. Mit anderen Worten: Wer hat das Recht, auf diese Daten zuzugreifen und sie zu nutzen? Die Endnutzerinnen und -nutzer, die das Gerät gekauft haben, der Hersteller des Geräts oder beide?

Da diese Fragen unbeantwortet blieben, führte die Unklarheit zu einer De-facto-Eigentümerschaft der Hersteller, die in der Regel bestimmten, wie die Daten verwendet und mit wem sie geteilt werden durften (vorbehaltlich individueller Vereinbarungen mit den Käufern). Das Datengesetz sollte die oben genannten Fragen beantworten und klare Regeln für den Zugang zu solchen Daten und deren Nutzung aufstellen. Auf diese Weise würde es für eine gerechte Wertschöpfung sorgen und die Innovation fördern, indem mehr Daten zur Verfügung gestellt werden.

Der Geltungsbereich des Gesetzes umfasst:

• die Bereitstellung von Daten, die von Produkten und zugehörigen Diensten erzeugt werden, für die User dieser Produkte und zugehörigen Dienste, zusätzlich zu den Regeln für die Bereitstellung von Daten für "Datenempfänger" durch "Dateneigentümer",
• die Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten,
• die Einführung von Schutzmaßnahmen gegen den unrechtmäßigen Zugang Dritter zu nicht personenbezogenen Daten und Gewährleistung eines fairen Wettbewerbs durch den Schutz der Geschäftsgeheimnisse der Hersteller,
• die Entwicklung von Standards für die Interoperabilität von Daten und
• die gemeinsame Nutzung von Daten mit öffentlichen Stellen, der Kommission, der EU-Zentralbank und den Einrichtungen der Union in Ausnahmefällen.

Die Hauptakteure

Gemäß Artikel 1 gilt das Datenschutzgesetz für folgende Akteure:

• Hersteller von vernetzten Produkten, die in der EU in Verkehr gebracht werden und Erbringer von damit verbundenen Dienstleistungen, unabhängig davon, wo diese Hersteller und Erbringer niedergelassen sind.
• User von vernetzten Produkten oder damit verbundener Dienstleistungen in der EU.
• Dateninhaber, die Daten in der EU bereitstellen, unabhängig davon, wo sie niedergelassen sind.
• Datenempfänger in der EU, denen Daten zur Verfügung gestellt werden.Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der EU, die von Dateninhabern aufgefordert werden, Daten zur Verfügung zu stellen, wenn diese Daten ausnahmsweise für die Wahrnehmung einer bestimmten Aufgabe im öffentlichen Interesse erforderlich sind. Zudem Dateninhaber, die diese Daten aufgrund einer solchen Aufforderung zur Verfügung stellen.
• Anbieter von Datenverarbeitungsdiensten, die solche Dienste für Kundinnen und Kunden in der EU erbringen, unabhängig davon, wo sie niedergelassen sind.
• Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge nutzen sowie Personen, zu deren Gewerbe oder Beruf die Nutzung intelligenter Verträge für andere im Rahmen der Erfüllung einer Vereinbarung gehört.

Nehmen wir ein hypothetisches Beispiel, um zu sehen, was diese Rollen in einer realen Situation bedeuten könnten. In unserem Beispiel haben wir die folgenden imaginären Unternehmen:

• Great-Turbines: Hersteller von qualitativ hochwertigen, vernetzten Windturbinen, die er an Windparkentwickler verkauft und deren Daten auf seinen sicheren Servern speichert.
• Wind-Ener: ein Windparkentwickler, der Windturbinen von Great-Turbines kauft, um seine Windparks zu bauen und zu betreiben. Außerdem erhält er von Great-Turbines einige wichtige Daten, um den Betrieb des Windparks zu erleichtern.
• Wind-Innov: Ein neu gegründetes Unternehmen, das Windparkbetreibern wie Wind-Ener auf der Grundlage der Daten ihrer Windturbinen fortgeschrittene Analyse- und Diagnosedienste anbietet.

Auf der Grundlage des Datenschutzgesetzes hat Wind-Ener das Recht, alle von den gekauften Windenergieanlagen erzeugten Daten zu erhalten und mit dem Drittanbieter Wind-Innov zu teilen. Auf Anfrage von Wind-Ener muss Great-Turbines Wind-Innov diese Daten zur Verfügung stellen, die wiederum für den vereinbarten Zweck verwendet werden, um eine Dienstleistung für Wind-Ener zu erbringen.

In diesem Beispiel ist Great-Turbines "Hersteller" und "Dateneigentümer", Wind-Ener ist "User" (und "Datenempfänger" für die Daten, die er direkt erhält) und Wind-Innov ist ein dritter "Datenempfänger".

Was bedeutet das für Unternehmen?

Das Datenschutzgesetz definiert eine umfassende Reihe von Rechten und Pflichten für jeden der oben genannten Akteure/Rollen. Lasst uns einige der interessantesten Anforderungen und Rechte für Hersteller, User und Dritte näher betrachten:

Einige allgemeine Anforderungen an Hersteller und Dritte

• Hersteller von vernetzten Geräten sollten ihre vernetzten Produkte so gestalten, dass die gemeinsame Nutzung und die Nutzbarkeit der damit verbundenen Daten erleichtert wird.
• Verkäuferinnen, Verkäufer, Vermieterinnen oder Vermieter von vernetzten Geräten (dies kann auch der Hersteller sein) müssen den Users vor Abschluss eines Kauf-, Miet- oder Leasingvertrages umfassende Informationen über die von dem Gerät erzeugten Daten zur Verfügung stellen. Dazu gehören beispielsweise die Art, das Format, das geschätztes Volumen, der Speicherort oder die Zugriffsmöglichkeiten.
• Der Anbieter eines zugehörigen Dienstes muss dem User vor Abschluss eines Vertrags über die Bereitstellung eines zugehörigen Dienstes umfassende Informationen über die für diesen Dienst verwendeten Daten zur Verfügung stellen. Zum Beispiel die Art, das geschätzte Volumen und die Erhebungshäufigkeit der Produktdaten, die Art und das Volumen der Daten oder die Informationen, die durch den verbundenen Dienst selbst erzeugt werden.

Einige Highlights für Dateninhaber

Wann und an wen muss ein Dateninhaber die Daten liefern?

• Auf einfache elektronische Anfrage stellt der Dateneigentümer sicher, dass die User Zugang zu leicht verfügbaren Daten haben, die von den mit ihm verbundenen Produkten erzeugt wurden. Dies zusätzlich zu den relevanten Metadaten und zwar in der gleichen Qualität, wie sie dem Dateneigentümer zur Verfügung stehen.
• Auf Antrag eines Users oder einer Partei, die im Namen eines Users handelt, stellt der Dateneigentümer einem Dritten die leicht zugänglichen Daten sowie die zugehörigen Metadaten in derselben Qualität zur Verfügung, wie sie dem Dateneigentümer zur Verfügung stehen.

Was ist mit den entsprechenden Kosten?

• Der Zugang zu den von ihren Geräten erzeugten Daten sollte den Usern nicht in Rechnung gestellt werden, das heißt, er sollte für sie kostenlos sein.
• Im Falle einer Anfrage über einen Dritten und unter der Annahme, dass es sich um eine Business-to-Business-Beziehung handelt, können der Dateneigentümer und der Dritte (Datenempfänger) eine finanzielle Entschädigung für den Aufwand vereinbaren, der mit der Bereitstellung der Daten verbunden ist. Diese Entschädigung muss angemessen und nichtdiskriminierend sein und kann eine Marge enthalten (es sei denn, der Dritte ist ein KMU, in diesem Fall darf die Entschädigung die notwendigen Kosten nicht übersteigen).

Was bedeutet das für meine sensiblen Geschäftsdaten?

• Geschäftsgeheimnisse sind zu wahren und dürfen nur offengelegt werden, wenn der Dateninhaber und die Nutzenden vor der Offenlegung alle erforderlichen Maßnahmen zur Wahrung der Vertraulichkeit, insbesondere gegenüber Dritten, getroffen haben. Unter außergewöhnlichen Umständen (etwa eine hohe Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens) kann der Dateneigentümer die Offenlegung von Geschäftsgeheimnissen auch dann verweigern, wenn die erforderlichen Maßnahmen getroffen wurden.

Was sollte sonst noch beim Umgang mit oder bei der Verwendung solcher Produktdaten beachtet werden?

• Ein Dateninhaber darf allgemein zugängliche Daten, bei denen es sich nicht um personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem User verwenden. Ein Dateninhaber darf solche Daten nicht verwenden, um daraus Informationen über die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden des Users oder über die Nutzung durch den User in anderer Weise abzuleiten, die die wirtschaftliche Position des Users auf den Märkten, auf denen er tätig ist, beeinträchtigen könnte. Gleiches gilt für die Gewinnung von Erkenntnissen über den Dritten, der die Daten erhält (es sei denn, es liegt eine Genehmigung vor).
• Die Dateninhaber dürfen Dritten keine nicht personenbezogenen Produktdaten für kommerzielle oder nichtkommerzielle Zwecke zur Verfügung stellen, die nicht der Erfüllung ihres Vertrags mit dem User dienen. Gegebenenfalls müssen die Dateninhaber Dritte vertraglich verpflichten, die von ihnen erhaltenen Daten nicht weiterzugeben.

Gibt es Ausnahmen?

• Diese (und andere in Artikel 2 des Gesetzes genannte) Verpflichtungen gelten nicht für Daten, die durch die Verwendung von zugehörigen Produkten erzeugt werden, die von einem "Kleinstunternehmen" oder "kleinen Unternehmen" hergestellt oder entwickelt wurden, sofern dieses Unternehmen kein Partnerunternehmen oder verbundenes Unternehmen hat, das nicht als Kleinstunternehmen oder kleines Unternehmen eingestuft ist.
• Dies gilt auch für Produkte, die von einem Unternehmen hergestellt werden (oder für eine damit verbundene Dienstleistung, die von einem Unternehmen erbracht wird), das seit weniger als einem Jahr als "mittleres Unternehmen" eingestuft ist.

Was ist mit den "Usern" und "Dritten"?

User und Dritte haben ihre eigenen Verpflichtungen, zum Beispiel:

• User und Dritte, die Daten erhalten, dürfen die erhaltenen Daten nicht verwenden (oder an einen anderen Dritten weitergeben), um ein verwandtes Produkt zu entwickeln, das mit dem Produkt, von dem die Daten stammen, konkurriert.
• User und Dritte, die Daten erhalten, dürfen keine Zwangsmittel anwenden oder Schwachstellen in der technischen Infrastruktur des Dateneigentümers, die dem Schutz der Daten dienen, missbrauchen, um Zugang zu den Daten zu erhalten.
• Der Dritte darf die zur Verfügung gestellten Daten nur zu dem Zweck und unter den Bedingungen verarbeiten, die mit dem User vereinbart wurden. Der Dritte hat die Daten zu löschen, wenn sie für den vereinbarten Zweck nicht mehr benötigt werden (es sei denn, mit dem User wurde für nicht personenbezogene Daten etwas anderes vereinbart).
• Sofern nicht mit dem User vereinbart, darf der Dritte die Daten nicht an andere Dritte weitergeben.
• Der Dritte darf die erhaltenen Daten nicht in einer Weise verwenden, die die Sicherheit des verbundenen Produkts oder des verbundenen Dienstes beeinträchtigt.
• Der Dritte darf dem User nicht daran hindern, die erhaltenen Daten anderen Parteien zur Verfügung zu stellen, auch nicht auf der Grundlage eines Vertrags.

Das Datengesetz als Wegbereiter für das EU-KI-Gesetz

Es ist kein Geheimnis, dass einige der anspruchsvollsten Anforderungen an risikobehaftete KI-Systeme, die im KI-Gesetz der EU genannt werden, die zugrunde liegenden Daten betreffen. So heißt es in Artikel 10 Absatz 3 unter anderem, dass die Trainings-, Test- und Validierungsdatensätze relevant, hinreichend repräsentativ und von hoher Qualität ("minimal fehlerhaft", "so vollständig wie möglich") sein müssen. Auch wenn die Durchführbarkeit und Strenge dieser Anforderungen noch diskutiert wird und der genaue Wortlaut noch nicht feststeht, müssen sich die Unternehmen auf die Einhaltung der Vorschriften vorbereiten. Unabhängig vom KI-Gesetz ist das Vorhandensein relevanter, repräsentativer und qualitativ hochwertiger Daten de facto eine Voraussetzung für ein qualitativ hochwertiges KI-Modell. Die Beschaffung solcher Daten ist weder einfach noch billig, insbesondere nicht für (externe) Start-ups. Dies könnte jedoch durch den Data Act und den Data Governance Act erleichtert werden, da der Data Act die Dateneigentümer verpflichtet, mehr hochwertige Produktdaten für Dritte zur Verfügung zu stellen und der Data Governance Act geeignete Regeln und Infrastrukturen schafft, um den Datenaustausch innerhalb der EU zu erleichtern.

Was ist als nächstes zu tun?

Wie die wenigen in diesem Artikel erwähnten Erkenntnisse zeigen, bietet das Datenschutzgesetz Drittanbietern und Start-ups die Möglichkeit, neue Geschäftsmodelle zu entwickeln oder bestehende zu verbessern. Diese Unternehmen sollten sich daher ans Reißbrett setzen und überlegen, wie sie diese Chance nutzen können. Hersteller und Dateneigentümer (in der Regel ein und dasselbe Unternehmen) sollten sich auf die Erfüllung der Anforderungen vorbereiten und gegebenenfalls ihre Strategien und einige ihrer Geschäftsmodelle (beispielsweise solche, die den Verkauf von Produktdaten an User beinhalten) anpassen. Darüber hinaus wird es von entscheidender Bedeutung sein, über geeignete Datenmanagement- und -verwaltungsprozesse sowie eine geeignete Infrastruktur zu verfügen, um die Einhaltung der Anforderungen zu erleichtern.

Ein guter Ausgangspunkt könnte die Durchführung einer Bewertung sein, um die Relevanz des Data Act für Unternehmen zu beurteilen und die erforderlichen Maßnahmen zur Sicherstellung der Einhaltung und Anpassung der Geschäftsstrategie zu ermitteln.

Weitere spannende Themen aus der adesso-Welt findet ihr in unseren bisher erschienenen Blog-Beiträgen.

Auch interessant:

• Schrems II ad acta? Das neue Data Privacy Framework und seine Auswirkungen