bevh Blog

EU Data Act, oder: wie reguliert man elektrische Schafe?

03032022

EU Data Act, oder: wie reguliert man elektrische Schafe?

// Tags / Konsumverhalten / Politik / Recht / Technik und IT

Smart Devices. Smart Contracts. Machine to Machine. Internet of Things. Industrie 4.0. AI. Big Data.

Ob vom Buzzword-Bingo getrieben oder ehrlich um die Wettbewerbsfähigkeit Europas besorgt, hat die EU-Kommission unter der Präsidentschaft von Ursula von der Leyen eine Vielzahl von Gesetzgebungsverfahren auf den Weg gebracht, die 2022 in den Trilog gehen oder abgeschlossen werden sollen. DSA. DMA. DGA. Und nun der DA, der Data Act. Alle wiederum zu harmonisieren mit bestehenden Regelungen etwa der GDPR/DSGVO.

Die EU-Kommission zieht mit dem Data Act ihre Konsequenz aus 25 Jahren Digitalisierung: In vielen Vertragsbeziehungen ist nicht der vom Kunden bezahlte Preis der abschließende Transaktionswert. Die mitgelieferten Daten haben einen wesentlich höheren „Roh-Wert“, aus dem der Kunde selbst und direkt keinen Gewinn zieht. Er ist, so der Vorwurf, oft nicht einmal darüber informiert, dass eine Menge von Daten anfällt und systematisch erfasst wird, aus denen wiederum wirtschaftlicher Mehrwert generiert wird. Dieser Mehrwert kommt heute, so die Kommission, nur einer geringen Zahl Unternehmen zu. Das soll künftig vermieden werden.

In die Kernprozesse des E-Commerce greift der Data Act dabei formal nicht ein. Er erfasst explizit keine persönlichen, sondern nur „non-personal data“, die bei der Nutzung von Geräten anfallen, die mit dem Internet verbunden sind. Und auch nicht alle Internet-fähigen Geräte sind gemeint, denn Smartphones, Tablets, Notebooks und etliche mehr sind ausgenommen. Es geht um „Smart Home Appliances“ wie digitale Thermostate, um Autos, Landmaschinen, Werkzeuge oder auch Industriegeräte. Gerade die Industriedaten stehen im Fokus, weil die Kommission Europa hier in einer Pole Position sieht, oder dorthin bringen möchte.

Mit nur wenig Fantasie lassen sich allerdings E-Commerce-Geschäftsmodelle erkennen, die von einer Nutzung von solchen non-personal data profitieren könnten. Ersatzteillieferungen, „predictive maintenance“, Nachschub sind Szenarien, in denen Kontrakte geschlossen werden können, die aufgrund von Sensordaten ein definiertes „Event“ erkennen und darauf aufbauend eine Transaktion vorbereiten oder sogar auslösen. Aber natürlich auch Konsumenten-nähere Szenarien, bei denen Mobilitätsdaten der Autos erfasst werden, Leuchtstunden von Glühbirnen etc.

Mittelbar ist also E-Commerce vom Data Act durchaus betroffen, wenn doch das Mantra der Branche lautet, dass man nicht nur Waren, sondern auch warenbezogene und weitere Dienstleistungen anbieten sollte. Der Data Act soll diesen kommenden Datenmarkt stimulieren und verhindern, dass durch proprietäre Formate oder Datensilos ein Nutzer vielfältig mit „Lock-ins“ konfrontiert ist und unabhängige Angebote gar nicht mehr entstehen können. Das ist keine geringe Sorge, die z.B. Handwerker umtreibt: Können Sie künftig noch „wettbewerbsfähig“ Kunden bedienen, wenn sie an die Nutzungsdaten von Geräten (Heizung, Ventile etc.) nicht oder nur von Herstellers Gnaden oder zu zu hohen Kosten herankommen?

Die Beispiele zeigen aber auch ein Problem des Data Acts zumindest für den E-Commerce, aber auch generell für den erhofften Industriedatenmarkt auf: „non-personal data“ sind vielleicht nicht personenbezogen, aber sind sie auch „nicht personenbeziehbar“? Ein Konflikt mit der DSGVO könnte sich aufdrängen. Muss der Data-User der Erhebung der Daten im Einzelnen zustimmen? Darf er der Speicherung der Daten widersprechen? Die Löschung verlangen? Von allen Daten oder nur von einigen?

Der Data Act definiert dabei die verschiedenen Akteure in solchen digitalen Geschäftsbeziehungen. Da gibt es den Data-User, der ein Gerät nutzt, sowie einen Data-Controller, dem das Gerät beispielsweise gehört. Nicht unwichtig für Sharing-Economy-Modelle im B2C- und B2B-Sektor. Der „Data-Holder“ ist derjenige, der die Daten erfasst – in der Regel der Hersteller des „smarten Geräts“, bei dem die Daten auflaufen. Ein „Data-Recipient“ wiederum ist ein beliebiger Dritter, dem der Data-User oder Data-Controller die Daten, die aus seiner Nutzung der Geräte entstehen, zugänglich machen will.

Ziel der EU ist es, dass der User oder Controller präzise Auskunft über die erfassten Daten erhält und genau so präzise bestimmte Daten kostenlos abrufen und Dritten zur Verfügung stellen darf. Diese Dritten sollen die Daten im Auftrag des Users/Controllers auch direkt vom Datenhalter beziehen dürfen, gegen ein angemessenes Entgelt, das die eigenen Kosten des Datenhalters nicht übersteigt – sonst würde ja neuerlich ein Gewinn aus den Daten gezogen, an dem der Data-User nicht teilhat.

Allerdings dürfen weder der Datenempfänger noch der User selbst die Daten dazu nutzen, um direkte Konkurrenzprodukte zu entwickeln. Der Data-Holder ist auch nicht verpflichtet, jegliche Art von Informationen weiterzugeben, die er aus den ursprünglichen Daten durch eigenes Zutun abgeleitet hat („derived or inferred“). So will die EU-Kommission einen zumindest temporären Wettbewerbsvorteil der digitalen Unternehmer ermöglichen, damit überhaupt Bereitschaft zum technologischen Invest besteht. Aber ohne ein Monopol oder Oligopol, eine „datenmarktbeherrschende“ Stellung durch Lock-ins zuzulassen.

Die Potentiale der Daten sollen stattdessen von einem möglichst breiten Markt an Akteuren erhoben werden, was als Intention schon der 2018 eingeführten „Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union“ zugrunde lag.

Inzwischen sind mit dem Digital Services Act, dem Digital Markets Act, dem Data Governance Act weitere Regelwerke hinzugekommen, auf die der Data Act Bezug nimmt. So verweist er auf die im DMA genannten „Gatekeeper“, die explizit vom Zugang zu diesen Daten ausgeschlossen werden sollen, um einer Verfestigung von Datenmonopolen entgegenzuwirken. Allerdings ist die Definition dessen, ab wann ein E-Commerce-Unternehmen als „Gatekeeper“ gilt, durchaus umstritten – wie nicht zuletzt in den vergangenen Tagen von Zalando, booking.com und anderen an die Öffentlichkeit gebracht wurde.

Dabei ist ein „Gatekeeper“ selbst lediglich als Data-Recipient ausgeschlossen, ein Dritter darf jedoch Dienstleistungen bzw. Infrastruktur der Gatekeeper nutzen, um seine eigenen Services für den Data-User auf Grundlage der Daten des Data-Holders - also des Herstellers des smarten Geräts, der die Daten erfasst, - zu erbringen. Der Data-Holder darf den Data-Recipient parallel nicht verpflichten, nur seine Infrastruktur für die eigenen Dienstleistungen zu nutzen – die Daten müssen standardisiert und portabel zur Verfügung gestellt werden. Und wo es keine Standards gibt, müssen welche geschaffen werden. Open Data ist das Leitbild, und parallel zum Data Act hat die EU sechs konkrete Datenräume benannt, in denen der Rahmen für Interoperabilität und Portabilität via Standards gelegt werden soll.

Der Data Act greift bei aller guten Intention also auch in die Vertragsfreiheit ein – und sticht in ein Wespennest. Dabei ist er noch vielfach unscharf formuliert. Nicht klar ist beispielsweise, ob die genannten Smart Devices jeweils vollständig der Regulierung des Data Acts unterworfen werden oder nur bestimmte Datenarten. Denn der Data Act schließt solche Daten aus, die aufgrund einer intentionalen Handlung des Nutzers gewonnen werden. Wenn ein Nutzer über ein Smart Device seinen digitalen Thermostaten regelt, entstehen Daten, die wohl in beide Sparten fallen. Zumindest hier könnte die DSGVO einen Riegel vor die Datenproliferation schieben.

Ebenso wohlmeinend wie zahnlos erscheint die Aussage, dass Data-Holder nicht verpflichtet werden dürfen, Geschäftsgeheimnisse offenzulegen, und die Gegenseite auch sicherstellen muss, dass sie keine Schwachstellen ausnutzt, um über die Daten an solche Geschäftsgeheimnisse zu gelangen. Wie und von wem das geprüft werden soll, bleibt vage, zumal der Data Act es den EU-Mitgliedstaaten anheimstellt, ob und welche neuen oder bestehenden Institutionen für die Durchsetzung zuständig sind, einschließlich der Festsetzung von Strafmaßen.

Prognosen und erst recht Gesetzgebung sind vor allem dann schwierig, wenn sie die Zukunft betreffen. Wo Regulatorik gewöhnlich nachläuft, versucht die EU-Kommission hier vorzugreifen, mit dem erklärten Ziel, Digitalisierung zu wollen, einen Kontinent an die Spitze der Entwicklung zu führen. Das kann man eigentlich nicht genug loben. Um so wichtiger ist es, in den jetzt beginnenden Verhandlungen in Rat und EU-Parlament genau so mutig aus Sicht des Handels Pflöcke einzuschlagen, wo E-Commerce-Modelle der Zukunft tangiert werden könnten.

Aber das ist nicht so leicht, gerade wenn man aus der E-Commerce-Perspektive auf die Entwicklung im B2C-Sektor schaut. Vor 15 Jahren wurde das iPhone vorgestellt. Es hat den E-Commerce radikal verändert. Es hat auf Basis von Technologie einen völlig neuen, partizipativen „App“-Markt geschaffen, der als Vorbild auch für Industrieanwendungen dient. Dass es „nur“ zwei wesentliche Plattformen gibt, ist Fluch und Segen zugleich. Wie schwer der Lock-in auf mobilen Endgeräten für Entwickler und Nutzer wiegt, ist dabei schwer zu messen. Der Umsatz, den Apple mit itunes, Apps und Services im Jahr 2021 gemacht hat, lag bei knapp 70 Mrd. Dollar bzw. knapp 19 % des Gesamtumsatzes. Der Umsatz, den die Entwicklerinnen aus dem App-Markt gemacht haben, hat schon 2020 fast 650 Mrd. Dollar erreicht.

Im E-Commerce hat sich der Umsatz seit 2007 von 27,6 Mrd. Euro auf mehr als 100 Mrd. Euro vervierfacht. Doppelt so viel wie im Jahr 2007 machen aktuell die Umsätze aus, die auf Plattformen im E-Commerce realisiert wurden. Plattformen bieten einen niedrigschwelligen Einstieg in den Onlinehandel - Mitmach-Commerce. Immer mehr starke Onlinehändler öffnen sich für Dritte und etablieren sich in ihrer Nische als zentrale Plattform, teilen dabei Daten (DSGVO-konform), um gemeinsam mit den angeschlossenen Händlern im Plattform-Wettbewerb voranzukommen.

Das ist Plattform-Ökonomie in Aktion: eine starke Technologie und eine Öffnung für Dritte dynamisiert das eigene Wachstum und erzeugt Wohlstand für viele. Proaktiv solche Platzhirsche gar nicht erst wachsen zu lassen, drängt sich also nicht per se als Ratschlag auf, den man aus E-Commerce-Sicht dem Gesetzgeber zurufen möchte. Vielleicht braucht es in verschiedenen Sektoren Großunternehmen, um die sich ein Ökosystem entwickeln kann. Wenn man ab einer bestimmten Größe an keine Daten mehr gelangen darf, ist das ein Eingriff in den Wettbewerb, der eine Marktentwicklung frühzeitig eher behindert, als sie zu fördern.

Insofern hat die Kommission mit dem Doppelansatz aus der Forderung nach offenen Standards und Portabilität ein dickes Brett vorgelegt. Vollends in eine ungewisse Zukunft greift der Data Act, wenn er Regelungen über Smart Contracts treffen will. Zwar werden Blockchain-Anwendungen oft als besseres Gegenmodell zu zentralistischen Plattformen gesehen.

Allerdings ist der Data Act hier extrem blutarm: Ohne genauere Definition fordert das Gesetz robuste Blockchain-Lösungen, die auch bei Unterbrechung der Verbindung zum Electronic Ledger funktionieren sollen. Sie dürfen nicht manipulierbar sein (was ohnehin komparativer Vorteil eines Smart Contracts sein sollte) und müssen Zahlungen nach Ablauf der vereinbarten Leistung unterbinden (was denn sonst?).

Ob das aber genügt, um die Vorteile eines starken digitalen Intermediärs aufzuwiegen, der den Markt überhaupt erst bereitet, ist eine Wette auf die Zukunft. Eine Frage des Vertrauens in den Markt oder in den Staat.

0

Die Kommentarfunktion ist für diesen Artikel deaktiviert.