Home
english
info@awv-net.de
Neue Datenzugangsmöglichkeiten für öffentliche Stellen
Neu ist ebenso die Verpflichtung von Unternehmen, öffentlichen Stellen Daten zur Verfügung zu stellen. Dies gilt, wenn die Daten für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich sind und eine außergewöhnliche Notwendigkeit besteht. Klein- und Kleinstunternehmen sind von der Bestimmung ausgenommen. Eine außergewöhnliche Notwendigkeit liegt bei einem öffentlichen Notstand, wie z. B. einer Pandemie, vor. Unter die Definition des öffentlichen Notstands fällt beispielsweise ein Datenbereitstellungsverlangen einer öffentlichen Stelle auf aggregierte Standortdaten, um im Zusammenhang mit der COVID-19-Pandemie die Bewegungsströme der Bevölkerung nachzuvollziehen. Auch die Verhinderung oder Erholung von einem öffentlichen Notstand fällt unter die Kategorie der außergewöhnlichen Notwendigkeit. Drittens besteht eine außergewöhnliche Notwendigkeit, wenn öffentliche Stellen die Daten zur Erfüllung spezifischer, ausdrücklich im Gesetz festgelegter Aufgaben benötigen und nicht anderweitig auf diese zugreifen können bzw. sich dadurch der Verwaltungsaufwand der Dateninhaber oder anderer Unternehmen erheblich verringern würde.
Grundsätzlich ist zu befürworten, dass der Staat die notwendigen Mittel hat, um auf öffentliche Notstände zu reagieren und so das Wohl der Bevölkerung zu schützen. Aber wie so oft liegt der Teufel im Detail. Insbesondere der dritte Punkt, welchen die Kommission als außergewöhnliche Notwendigkeit ansieht, ist ausufernd. Fast jeder Datenwunsch der öffentlichen Hand könnte hiervon erfasst sein. Das bloße Fehlen von Daten ist kein verhältnismäßiger Grund für einen Datenzugang. Eine verpflichtende Datenbereitstellung ist eine weitreichende Einschränkung der Freiheit der Unternehmen und ist dementsprechend nur in echten Notsituationen legitim. Hier muss der Kommissionsentwurf nachgeschärft werden. Es braucht eindeutige Definitionen sowie Schutzmaßnahmen, die einen Missbrauch verhindern und die Rechte der Betroffenen sichern.
Leider verpasst die EU-Kommission mit dem Data Act die Chance, den freiwilligen kooperativen Datenaustausch zwischen privatem und öffentlichem Sektor zu stärken. In der EU gibt es viele Beispiele für erfolgreiche Initiativen zur gemeinsamen Nutzung von Daten, wie der Bericht einer Expertengruppe der EU-Kommission hervorhebt.(5) Im Zusammenhang mit der COVID-19-Pandemie ließe sich diese Liste um viele weitere Beispiele ergänzen. Die Reaktion auf die Pandemie hat gezeigt, dass die Bereitschaft zur gemeinsamen Nutzung von Daten erheblich zunimmt, sobald der Zweck der gemeinsamen Nutzung klar umrissen ist. Diese positiven Beispiele verdeutlichen das Potenzial des freiwilligen kooperativen Datenaustauschs, da dieser schnell und unbürokratischer ist.
Regulierung von Dateninfrastruktur
Der dritte Bereich des Data Acts adressiert Cloud-Anbieter. Zukünftig müssen Anbieter von Datenverarbeitungsdiensten es ihrer Kundschaft ermöglichen, zu einem anderen Anbieter der gleichen Dienstart zu wechseln (sog. Cloud-Switching), indem gewerbliche, technische, vertragliche und organisatorische Hindernisse abgebaut werden. So sieht der Data Act eine Reihe von Vertragsbedingungen vor, wie eine Kündigungsfrist von maximal 30 Tagen, eine Klausel, die die Übertragung der Daten in der Regel innerhalb von 30 Tagen ermöglicht oder eine vollständige Spezifizierung aller Kategorien von Daten und Anwendungen, die während des Wechsels exportierbar sind. Auch Wechselgebühren sollen schrittweise abgeschafft werden.
Im Falle des Anbieterwechsels müssen Cloud-Anbieter ihren Kunden Schnittstellen öffentlich und kostenlos zur Verfügung stellen. Dabei sollen die Datenformate kompatibel mit offenen Interoperabilitätsspezifikationen sein und müssen mindestens in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format exportiert werden können. Die offenen Interoperabilitätsspezifikationen und europäischen Normen für die Interoperabilität von Datenverarbeitungsdiensten sollen für bestimmte, nicht weiter ausgeführte Dienst-arten erarbeitet werden.
Das Bestreben der Kommission, mehr Dynamik in den Cloudmarkt zu bringen, ist begrüßenswert. Jedoch scheint der Vorschlag der EU-Kommission in Teilen zu weitreichend und berücksichtigt nicht ausreichend die Komplexität von Cloud-Switching und Dateninteroperabilität. Dies gilt insbesondere für das Verhältnis zwischen Unternehmen. Einige der Bestimmungen werden in der Praxis nur schwer umzusetzen sein und könnten unbeabsichtigte negative Nebeneffekte haben.
So würde beispielsweise die vorgesehene knappe Kündigungsfrist für Kunden von maximal 30 Kalendertagen zur Beendigung der vertraglichen Vereinbarung mit Datenverarbeitungsdiensten die Geschäftsmodelle vieler Anbieter beeinträchtigen. Umsatzprognosen auf Basis der Vertragslaufzeiten wären kaum möglich. Langfristig könnte dies zu höheren Preisen für die Kunden führen. Ob diese starren Regeln gerade im Unternehmenskontext sinnvoll sind, bleibt fraglich.
Die Einführung von ambitionierten Interoperabilitätsanforderungen für Software-as-a-Service- und Platform-as-a-Service-Diensten könnte zu einer stärkeren Vereinheitlichung der Dienste führen. Hierdurch würde die Entwicklung innovativerer und maßgeschneiderter Lösungen behindert. Im Hinblick auf die Interoperabilität stellt sich darüber hinaus die Frage der generellen Umsetzbarkeit. Selbst große IT-Unternehmen stehen vor enormen Herausforderungen, wenn es darum geht, Metadatenstandards innerhalb ihrer eigenen Organisation zu formulieren und diese über alle Lösungen hinweg zu pflegen. Wenn es keine durchgängige Interoperabilität innerhalb von Unternehmen gibt, wie soll dann Interoperabilität zwischen Unternehmen erreicht werden?
Wie geht es nun weiter?
Die EU-Kommission sieht vor, dass der Data Act zwölf Monate nach Inkrafttreten gelten soll. Bis dahin hat der Vorschlag noch einen weiten Weg vor sich. Jetzt liegt der Ball beim EU-Parlament und dem Rat der EU. Beide Institutionen müssen erst eine eigene Position erarbeiten, bevor sie sich in den sogenannten Trilogverhandlungen, an denen auch die EU-Kommission teilnimmt, auf einen finalen Text einigen. Sowohl im Rat als auch im Parlament werden die Verhandlungen erst im Herbst 2022 Fahrt aufnehmen. Mit einer Verabschiedung des Data Acts ist nicht vor Sommer 2023 zu rechnen – genug Zeit für notwendige Verbesserungen.
Zum Thema Data Act hielt der Autor im Rahmen einer Sitzung des Arbeitskreises 4.3 „Datenschutz und Informationssicherheit“ im Juni einen Impulsvortrag über die Auswirkungen auf das deutsche Datenschutzrecht. Die Diskussion zum Data Act wurde vom AK 4.3 im zurückliegenden Arbeitskreistreffen am 22.09.2022 mit Rückblick auf eine Veranstaltung der DIHK (data-act.org) unter dem Titel: „Data Act – Was kommt auf die Wirtschaft zu?“ fortgesetzt.
5 Vgl. Europäische Kommission (Hg.): Towards a European strategy on business-to-government data sharing for the public interest: final report prepared by the High-Level Expert Group on Business-to-Government Data Sharing, Luxemburg 2020, online: https://data.europa.eu/doi/10.2759/731415 [26.08.2022].
Zurück zu Seite 1 | Seite 2
