Der Umgang mit personenbezogenen Daten spielt gerade in Europa eine äußerst wichtige Rolle. Mit dem europäischen Datengesetz Data Act möchte man den Zugriff auf Daten vereinfachen und unterstützen – vorausgesetzt, der Kunde gibt seine Einwilligung.
Daten sind ein Grundpfeiler der digitalen Wirtschaft in Europa. Um ihr Potenzial zu erschließen, will die Europäische Kommission einen Markt für personenbezogene und nicht personenbezogene Daten schaffen, der den europäischen Regeln und Werten in vollem Umfang gerecht wird. Die wesentlichen Aussagen nach der Veröffentlichung waren:
https://www.europarl.europa.eu/news/de/press-room/20220401IPR26534/europaisches-datengesetz-forderung-des-eu-weiten-datenaustauschs
- Mehr Daten sind nötig, um das Potenzial der künstlichen Intelligenz zu erschließen.
- Neue Regeln sollen Datenaustausch durch Vertrauen fördern und Bürgern und Unternehmen mehr Kontrolle geben.
- Die Abgeordneten haben eigene Bestimmungen zur Gewährleistung eines fairen Zugangs und zur Förderung des freiwilligen Datenaustauschs durchgesetzt.
Wie sehen Verbraucher- und Datenschutzaufsichtsbehörden diese Entwicklung? Ich habe mir das Thema angeschaut und gehen den Folgen des neuen Gesetzes auf den Grund.
Das Problem
Der Einsatz von Kundendaten muss nach dem neuen EU Data Act strikt an bestimmte Bedingungen geknüpft sein. Es bedarf einer Einwilligung des Kunden vor jeder Verarbeitung oder Nutzung seiner Daten. Doch sind viele Konsument*innen unsicher, ob im Falle einer solchen Einwilligung ihr Recht auf Privatsphäre und Datenschutz noch bestehen bleibt. Sie befürchten, dass Unternehmen die Einwilligung nutzen könnten, um personengebundene Daten ohne Rücksicht auf den Schutz der persönlichen Informationen zu sammeln und zu verarbeiten.
Darum fordern Verbraucherschützer und Datenschutzorganisationen mehr Transparenz beim Umgang mit personengebundenen Daten, damit Konsument*innen über die Art und Weise, wie ihre Daten verwendet werden, informiert werden können.
Darüber hinaus sollten Unternehmen in die Pflicht genommen werden, um sicherzustellen, dass die Einwilligungserklärung des Kunden nur einmal gegeben wird und grundsätzlich jederzeit widerrufen werden kann.
Im Data Act ist fest verankert: Der Schutz personengebundener Daten muss immer Vorrang haben — unabhängig vom europäischen Datengesetz. Daher ist es Aufgabe des Europäischen Parlaments sowie aller involvierten Beteiligten, Maßnahmen zur Gewährleistung des Schutzes von privater Information zu treffen. Gleichzeitig ist dafür zu sorgen, dass der Zugang zu Daten erleichtert wird — aber nur unter Beachtung der strengen datenschutzrechtlichen Vorgaben.
Was ist geplant?
Die Europäische Kommission präsentierte im Februar 2022 mit ihrem Vorschlag für ein Datengesetz (Data Act) einen Verordnungsentwurf, um die Nutzung von Daten in der EU anzukurbeln und zugleich den strengen datenschutzrechtlichen Vorgaben gerecht zu werden. Mit dem neue Regelwerk soll es private Nachnutzer vor allem vernetzbarer Geräte ermöglichen, selbstbestimmt über Ihren Umgang bzgl. Erzeugnis dieser sammelten Information zu bestimmen – frei nach dem Motto “Meine Daten — meine Entscheidung”. Durch Beteiligung auch kleinerer Unternehmen schafft die EU Anreize für eine faire Wettbewerbssituation mit Zugangs-und Vertriebsregulierungen.
Wo sehen Datenschützer und Verbraucherzentralen das Problem?
Können wir es uns wirklich leisten, personenbezogene Daten wie Handelsware zu betrachten? Europäische Aufsichtsbehörden warnen davor, dass das letztlich dazu führt, dass das Konzept der Menschenwürde und die Rechte auf Privatsphäre sowie den Datenschutz ausgehöhlt werden. Grundsätzlich kann eine Einwilligung zwar formell die Rechtmäßigkeit herstellen, aber materiell zu einem Verlust an Datenschutz führen. Dies trifft dann zu, wenn Menschen Tracking und personalisierte Werbung zustimmen oder die Bonitätsauskunft bei Wohnraummieten weitergegeben wird. Notwendig klare gesetzliche Vorgaben, um solchen Fehlentwicklungen entgegenzutreten.
Aktuell sind folgende Punkte unklar:
- - Unklarheiten bei der Abgrenzung personenbezogene Daten und nicht-personenbezogene Daten
- - Fehlende rechtliche und technische Vorgaben, wie und welche Daten übertragen werden können
- - fehlende Vorgaben für die Anonymisierung der Daten
Ein gemeinsames Positionspapier des BvDs, der Stiftung Datenschutz und der DIHK finden Sie hier.
Wie geht es weiter?
Der Data Act wurde vom europäischen Parlament am 6. April 2022 angenommen und gilt für die EU-Mitgliedstaaten ab dem 24. September 2023. Es bleibt abzuwarten, ob die Unklarheiten bis zur Geltung der Verordnung geklärt werden können.