Data Act soll in der EU den Umgang mit Nutzerdaten optimieren
von André Westphal | 4 Kommentare
Offiziell ist es noch nicht, aber es heißt, die Europäische Kommission wolle am 23. Februar den sogenannten Data Act vorlegen. Dabei handelt es sich um ein Bollwerk neuer Regeln, welche die Hersteller von Geräten mit Online-Anbindung sowie entsprechende Dienstleistungsanbieter, aber auch Kunden, betreffen werden. Konkret soll damit der Umgang mit Nutzerdaten optimiert werden.
Ein zentraler Punkt sei dabei auch das Recht der Nutzer, Einsicht in ihre Daten zu erhalten bzw. diese umziehen zu können. So möchte man die Interoperabilität stärken und Möglichkeiten schaffen, die Datenmengen, welche sich größtenteils in der Hand großer US-Konzerne befinden, flexibler nutzbar zu machen. Demnach sollen die Anbieter entsprechender Hard- und Software verpflichtet werden, die gesammelten Daten für die Kunden freizugeben.
Klarer gesagt: Die Daten, die ihr als Nutzer einem Unternehmen übermittelt habt, sollen auch für euch zugriffsbereit sein. Auch Organisationen sollen ein Recht haben, ihre Daten zu erhalten, die sie übermittelt haben – etwa durch die Nutzung bestimmter Software in ihrer IT-Infrastruktur. Anschließend soll es den Nutzern frei stehen, ihre Daten selbst zu verwenden oder wieder mit Dritten zu teilen. Jedoch gibt es für diese Punkte auch logische Einschränkungen.
So soll es Maßnahmen geben, die helfen, vertrauliche Daten oder Geschäftsgeheimnisse zu schützen. Dies sei jeweils zwischen dem die Daten sammelndem Unternehmen und dem Nutzer zu klären. Auch dürfen die freigegebenen Daten nicht verwendet werden, um Konkurrenzprodukte zu den Diensten des die Daten Erhebenden zu entwickeln. Ebenfalls dürfen die Nutzer oder Dritte diese Daten dann nicht mit Organisationen teilen, die laut dem Digital Markets Act (DMA) als Gatekeeper gelten. Solche Gatekeeper dürfen die Nutzer daher auch nicht auffordern, ihnen Daten aus anderen Quellen zu übermitteln.
Zusätzlich dürfen die Unternehmen, welche die Nutzerdaten halten, technisch nicht verhindern, dass die User auf ihre Daten zugreifen. Auch sollen keine „Dark Patterns“ verwendet werden, um die Nutzer indirekt davon abzuhalten, ihre Daten einzusehen. Gemeint sind damit z. B. absichtlich verkomplizierte Abrufprozesse. Ausgenommen sind von den neuen Regeln kleinere Unternehmen, es sei denn, sie sind ökonomisch von einem größeren Konzern abhängig. Werden Daten angefordert, können die Unternehmen aber Gebühren dafür erheben, dass sie die Daten übermitteln. Doch diese Kosten müssen realistisch sein und sollen nur dem entstehenden Aufwand entsprechen.
Auch gibt es im Data Act eben Regeln für die Interoperabilität, die etwa für Unternehmen, aber auch private Nutzer vereinfachen sollen, beispielsweise von einem Cloud-Anbieter zu einem anderen zu wechseln und die Daten umzuziehen.
Klingt letzten Endes alles sehr umfassend und dürfte vor allem große US-Unternehmen auf die Barrikaden gehen lassen. Mal sehen, ob das überhaupt rechtlich am Ende alles so umgesetzt werden darf – vorausgesetzt diese Angaben bewahrheiten sich.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Das ganze wird schon langsam ziemlich komplex. Aber vielleicht stellen dann Hersteller wieder um die Daten vom Benutzer managen zu lassen. Paradebeispiel Sportuhren. Ich möchte meine Sport- und Gesundheitsdaten noch in irgendeine Cloud laden. Ich möchte die auf meinem Rechner/Smartphone selbst verarbeiten.
Auf der anderen Seite denk ich mir dass die Hersteller auf diese Daten nicht verzichten wollen. Somit wollen sie sich also auch an die Gesetze halten.
„Dabei handelt es sich um ein Bollwerk euer Regeln“
Da fehlt wohl ein „n“.
Ansonsten habe ich ein Deja Vu. Die GDPR sollte auch bereits Rechte des Kunden festschreiben, etwa zur Auskunft oder Löschung der eigenen Daten. Im Endeffekt reden sich aber die meisten Unternehmen heute damit heraus, dass sie die Daten aus steuerrechtlichen (o.ä.) Gründen behalten müssen. Im Endeffekt sehe ich das selbe Schema beim Data Act. Ich sehe schon die E-Mails, die mich darauf hinweisen, dass ich natürlich ein Recht habe, meine Daten umzuziehen, dies aus Gründen des Geschäftsgeheimnis in diesem Fall aber nicht möglich sei.
Sehr sinnvoll. Gerade bei Google kann man die Notwendigkeit sehen: Sie bieten mit Takeout einen Export aller Daten an, man bekommt dann aber irgendwelche JSON Dateien gemischt mit anderen Daten mit denen der normale User nichts anfangen kann. Sogar EXIF-Daten werden aus Bildern entfernt und landen dann im JSON und man kann dann alles wieder dort eintragen.
Aber die Höhe: Man kann die Daten zwar exportieren. Aber nicht mal Google bietet eine Möglichkeit, sie in einen anderen Account zu importieren. Das Ganze hat den Beigeschmack von: Wir müssen es anbieten, also machen wir es so, dass es maximal unbrauchbar wird.
Dabei hatten sie gerade bei Foto eine Zeit lang einen Ordner in GDdrive, wo man die Daten einfach Syncen konnte. Aber das „hat die Nutzer verwirrt“ deswegen wurde das geschlossen. Takeout verwirrt den Nutzer natürlich nicht.
Auch dass der Download nur über einen One Time Link geht und man das nicht mal ins Download-Center eines NAS schieben kann, spricht Bände. Automatischer Backup also nicht möglich. Nicht gewollt.
„Ein zentraler Punkt sei dabei auch das Recht der Nutzer, Einsicht in ihre Daten zu erhalten bzw. diese umziehen zu können.“
Klingt nach EU DSGVO: Artikel 15, Auskunftsrecht (hier übrigens entgeltfrei für die erste Kopie) und Artikel 20, Recht auf Datenübertragbarkeit.