Lange war unklar, ob es noch in der laufenden schwedischen Ratspräsidentschaft etwas werden würde. Seit vorgestern Abend scheint sie da zu sein: Die Einigung zwischen den EU Institutionen. Nach den aktuellen Pressemitteilungen aus Brüssel ist bereits in den kommenden Wochen mit der Verabschiedung des EU Data Actzu rechnen.
Mit dem EU Data Act wird die Europäische Union eine weitere wichtige Säule ihres Digitalen Gesetzgebungspakets erlassen, die sich mit der Nutzung der im sogenannten Internet der Dinge (IoT) generierten Daten befasst. Und diese neue Verordnung hat es durchaus in sich.
Der EU Data Act umfasst ein Bündel von Regelungsbereichen:
- Anspruch von Nutzern und Dritten auf Datenzugang zu IoT Produkten
- Zugang von staatlichen Stellen auf IoT Daten in Notsituationen
- Erleichterter Wechsel zwischen Cloud-Anbietern
- Verbot missbräuchlicher Bestimmungen in Cloud- und Datennutzungsverträgen.
Die wohl brisantesten Regelungen betreffen den Zugang zu IoT Daten.
Datenzugang bei vernetzten Produkten
Ob Herd, Heizung, Fahrzeug oder Industriemaschine – inzwischen stecken nahezu alle Gegenstände des täglichen Lebens und der Wirtschaft voller Sensoren. Diese produzieren Unmengen an Daten, die genutzt werden können, etwa um neue Dienstleistungen anzubieten, um die Zuverlässigkeit der Produkte zu verbessern (z.B. durch vorausschauende Wartung), diese zu reparieren oder um deren Einsatz effizienter zu machen (z.B. durch optimierten Energieverbrauch).
Bisher stehen diese Daten regelmäßig nur den Herstellern oder deren Servicegesellschaften (in den Begrifflichkeiten des EU-Data Act der „data holder“) zur Verfügung, wobei die Übermittlung häufig automatisiert und ohne Kenntnis der Nutzer erfolgt. Wenn Nutzer detaillierte Kenntnisse über die Nutzung ihres Produkts erhalten wollen, dann ist dies häufig kostenpflichtig und in einem vom Hersteller eingeschränkten Umfang möglich.
Der EU Data Act soll dies ändern. Die Eigentümer (aber auch Mieter oder Leasingnehmer) sollen einen kostenlosen Zugriff auf die in ihrem Gerät entstehenden Nutzungsdaten erhalten. Die Hersteller sollen Nutzungsdaten unmittelbar am Gerät oder z.B. im Internet – soweit dies möglich ist - in Echtzeit bereitstellen und auch die „Metadaten“ liefern, d.h. die notwendigen Informationen, um die Daten zu verstehen und weiterzuverarbeiten.
Welche Bedeutung diese Daten haben verdeutlicht ein Beispiel:
Ein Logistikanbieter hat eine Flotte mit Fahrzeugen eines Herstellers. Die Fahrzeugdaten werden über eine im Fahrzeug verbaute SIM-Karte an den Hersteller gesendet. Sie enthalten u.a. Informationen über die Stärke des Bremsbelags. Mit dieser Information kann der Logistikanbieter ein Fahrzeug bereits frühzeitig inspizieren und einen nicht mehr ausreichenden Bremsbelag wechseln, bevor ein Folgeschaden an der Bremsscheibe entsteht undes zu einem Ausfall des Fahrzeugs kommt. Eine solche Information ist bisher nicht bzw. nur kostenpflichtig vom Hersteller erhältlich. Nach dem Data Act hat der Logistikanbieter einen Anspruch gegen dem Hersteller auf kostenlosen Zugang zu dieser Information.
Streitpunkt Geschäftsgeheimnis
Ein wesentlicher Streitpunkt im Gesetzgebungsverfahren waren die Bedenken der Hersteller, dass mit dem Datenzugang auch Geschäftsgeheimnisse an Unberechtigte gelangen könnten. Kürzlich warnten namhafte Unternehmen wie SAP und Siemens vor dem Verlust der Wettbewerbsfähigkeit der europäischen Industrie, wenn der Datenzugang so wie von der EU-Kommission beabsichtigt tatsächlich eingeführt würde. Auch die deutsche Regierung soll einen verstärkten Schutz von Geschäftsgeheimnissen gefordert haben.
Der Text des offenbar nunmehr gefundenen Kompromisses wurde bisher noch nicht veröffentlicht. Nach der Pressemitteilung des Rats soll der Text einen angemessenen Schutz von Geschäftsgeheimnissen und Rechten an geistigem Eigentum gewährleisten, gleichzeitig aber auch Missbrauch durch Hersteller verhindern. Ob ein Interessenausgleich gelungen ist, bleibt abzuwarten.
Was bedeutet das neue Recht auf Datenzugang?
Schon jetzt ist klar, dass es für Hersteller von Produkten, die bei der Nutzung Daten erheben, erheblichen Handlungsbedarf geben wird.
Es sind zukünftig in Kauf- und Serviceverträgen Regelungen zu treffen, um die Daten überhaupt noch verarbeiten zu dürfen.
Es gilt zu erfassen,
- welche Daten in den vernetzten Produkten erhoben und verarbeitet werden (know your data),
- welche dieser Daten als Geschäftsgeheimnisse des Unternehmens geschützt werden müssen,
- welche Metadaten erforderlich sind, damit Nutzer die Daten bestimmungsgemäß verwenden kann.
Ferner müssen kurzfristig geeignete technische Lösungen zur Datenbereitstellung entwickelt und implementiert werden, um sicherzustellen, dass berechtigte Nutzer, und zwar nur diese, Zugriff auf die Daten erhalten.
Die Nutzer sind über Ihre Rechte auf Datenzugang im Rahmen der Produktdokumentation zu informieren.
Es besteht zudem ein erheblicher Handlungsdruck: die Verpflichtungen des Data Acts werden gerichtlich und durch Aufsichtsbehörden durchgesetzt und es drohen – wie bei der DSGVO – erhebliche Bußgelder bei Verstößen.
Wie geht es weiter?
Der gefundene Kompromiss wird jetzt durch den juristischen Dienst finalisiert und zur Abstimmungen in Parlament und Rat vorbereitet.
Die Pflichten werden die Hersteller voraussichtlich schneller treffen, als es ihnen lieb ist. So mahnte der Zentralverband der Elektroindustrie zuletzt in einer Stellungnahme angesichts der langen Produktzyklen eine Übergangsfrist von 36 Monaten an. Dem Vernehmen nach sieht der Data Act aber weiterhin lediglich eine Übergangsfrist von 20 Monaten ab Inkraftreten vor. Es empfiehlt sich deshalb, umgehend erste Schritte zur Umsetzung der neuen Anforderungen einzuleiten.