Am 19. Februar hat die Europäische Kommission ihre europäische Datenstrategie veröffentlicht. Der Datenschutz spielt dabei zwar insofern eine Rolle, als Bürgerinnen und Bürger sich nur dann auf datengetriebene Innovationen einlassen und ihnen Vertrauen entgegenbringen werden, wenn ihre Daten auch wirksam geschützt werden. Allerdings geht es in der Datenschutzstrategie mehr um eben jene datengetriebenen Innovationen und damit um (nicht unbedingt personenbezogene) Daten als eine potenzielle Quelle für Wachstum, die unbedingt genutzt werden sollte.
„Daten sind die Lebensader der wirtschaftlichen Entwicklung“ und bieten Vorteile in den verschiedensten Bereichen. Die Kommission nennt dabei beispielhaft einen (bewussteren) Energieverbrauch, die Gesundheitsvorsorge (Stichwort „personalisierte Medizin“), die industrielle Fertigung (durch das Erzeugen digitaler Zwillinge kann beispielsweise die Lebensdauer von Maschinen kalkuliert und damit Prozesse optimiert werden) und die Entwicklung/den Einsatz von Künstlicher Intelligenz (KI).
Die EU soll in Zukunft eine führende Rolle in dieser wachsenden Datenwirtschaft übernehmen. Insbesondere soll sie besser auf die kommende Datenwelle vorbereitet sein als auf die letzte, bei der, wie die Kommission einräumt, momentan außereuropäische (vor allem US-amerikanische und chinesische) Unternehmen insbesondere im Bereich Online-Plattformen einen (Wettbewerbs-)Vorsprung haben. Der Tatsache, dass sich derzeit ein großer Teil der weltweit vorhandenen Daten in der Hand einer kleinen Zahl großer Technologieunternehmen befindet, begegnet die Kommission optimistisch: Ein Großteil der Daten werde künftig aus industriellen und beruflichen Anwendungen, aus Bereichen von öffentlichem Interesse oder aus Alltagsanwendungen des Internets der Dinge stammen – Bereichen, in denen die EU stark ist. Die EU hat – so die Kommission wörtlich in ihrer Datenstrategie – „das Zeug, um in der datenagilen Wirtschaft erfolgreich zu sein“. Das wird nicht nur aus den Potentialen in den Bereichen Technik, Know-how und hoch qualifizierte Arbeitskräfte abgeleitet, sondern auch aus dem starken Rechtsrahmen, den die EU in Bezug auf die nötigen Randbedingungen für Datenschutz, Grundrechte, Sicherheit und Cybersicherheit hat.
Nach dem Binnenmarkt und dem digitalen Binnenmarkt soll daher nun auch ein echter Binnenmarkt für Daten in der EU entstehen. Das sportlich formulierte Ziel: Bis 2030 soll – „aus freien Stücken und ohne Zwang“ – der Anteil der EU an der Datenwirtschaft mindestens ihrem wirtschaftlichen Gewicht entsprechen. Zur Erreichung dieses Ziels soll gewährleistet werden, dass Daten innerhalb der EU und branchenübergreifend weitergegeben werden können, die Regeln für Datenzugang und Datennutzung gerecht, praktikabel und eindeutig sind, und es schließlich klare und vertrauenswürdige Mechanismen für die Daten-Governance gibt. All das, selbstverständlich, unter Wahrung der Grundrechte, Vorschriften und Werte der EU.
Hürden sieht die Kommission dabei vor allem bei der Verfügbarkeit und Interoperabilität von Daten. Während im öffentlichen Sektor gewonnene Daten, dem privaten Sektor bereits unterstützt durch entsprechende rechtliche Vorgaben regelmäßig zur Verfügung stehen (Government-to-Business, G2B), verlaufe dies umgekehrt (B2G) und innerhalb des privaten Sektors (B2B) noch nicht optimal. Auch, dass es keine Normung gebe, die das Kombinieren von Daten aus verschiedenen Quellen ermöglicht, sei ein Problem. Weitere Gefahren werden in ungleichen Marktmachtverhältnissen und, damit verbunden, im (Nicht-)Vorhandensein von Dateninfrastrukturen und -technologien gesehen. Das adressiert vor allem kleine und mittelständische Unternehmen (KMU), die geringere Chance haben von Datenwerten zu profitieren. Offen spricht die Datenstrategie dabei das Problem der Einbindung von Cloud-Diensten an, die vor allem gegenüber den großen amerikanischen Anbietern trotz des Cloud Acts nicht auf rechtssicheren (sprich: DS-GVO-konformen) Pfeilern stehe und daher in der Vergangenheit für viel Verunsicherung gesorgt hat. Schließlich – so die Kommission zwar meinend, aber nicht in der Deutlichkeit – nützen die stärksten gesetzlich garantierten Betroffenenrecht nichts, wenn den Betroffenen keine technischen Instrumente und Standards an die Hand gegeben werden, um sie durchzusetzen.
Diese Probleme und Hürden will die Kommission nun durch die auf vier Säulen basierende Datenstrategie überwinden:
Erstens, soll im letzten Quartal 2020 ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung geschaffen werden. Dieser soll nicht zuletzt (einfacher) regeln, welche Daten, wie und von wem zu wissenschaftlichen Forschungszwecken verwendet werden dürfen, und wann Einzelpersonen die Nutzung der von ihnen erzeugten Daten zum Wohl der Allgemeinheit gestatten können. Zur Verbesserung des Zugangs zu Daten und ihrer Interoperabilität soll zudem ein Verfahren zur Annahme eines Durchführungsrechtsakts über hochwertige Datensätze (1. Quartal 2021) eingeleitet werden, damit solche Datensätze in der gesamten EU kostenlos, in maschinenlesbarem Format und über genormte Anwendungsprogrammierschnittstellen (API) zur Verfügung gestellt werden. Die Kommission wird außerdem prüfen, ob gesetzgeberische Maßnahmen zur Regelung der Beziehungen zwischen den Akteuren der datenagilen Wirtschaft erforderlich sind. In Bezug auf die (besorgniserregende) Anhäufung riesiger Datenmengen durch große Technologieunternehmen, verspricht die Kommission nicht nur eine besondere Beobachtung unter wettbewerbsrechtlichen Gesichtspunkten, sondern verweist auch explizit auf das kommende Legislativpaket zum Digital Services Act. Letzteres könnte im Zusammenhang mit der Überarbeitung der derzeitigen Verpflichtungen von Plattformanbietern stehen.
Zweitens will die Kommission Investitionen in Daten und in die damit verbundenen europäischen Kapazitäten und Infrastrukturen erhöhen. Das betrifft ganz maßgeblich Cloud-Lösungen. Im Zeitraum 2021–2027 will die Kommission in ein High-Impact-Projekt für europäische Datenräume und zusammengeschlossene Cloud-Infrastrukturen investieren, das im Ergebnis in europäischen Cloud-Alternativen münden könnte. Zudem soll 2022 ein europäischer Marktplatz für Cloud-Dienste geschaffen werden, der das vollständige Angebot von Cloud-Diensten umfasst, und auch ein EU-Cloud-Regelwerk (auch zur Selbstregulierung).
Drittens sollen Kompetenzen des Einzelnen und von KMU gestärkt werden. In Bezug auf den Einzelnen will die Kommission überprüfen, ob das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO) weiter ausgebaut werden muss, was insbesondere auch die Schaffung von (weiteren) Schnittstellen durch Datenverarbeiter betreffen könnte. Für KMU hingegen soll die künftige europäische KMU-Strategie Maßnahmen zum Aufbau notwendiger Kapazitäten vorsehen, wobei insbesondere Investitionen durch Programme und Fonds der EU angesprochen werden.
Viertens schließlich sollen gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse geschaffen werden. Das soll vor allem die Sektoren Industrie (Fertigung), Umwelt, Mobilität, Gesundheit, Finanzen, Agrarwirtschaft, Energie, öffentliche Verwaltung und Bildung betreffen. Durch große Datenpools soll der Austausch von Daten einfacher, schneller und damit innovativer werden.
Die Datenstrategie endet mit einem Satz, der auf die Dringlichkeit hinweist, mit der sie angegangen werden muss. „Um ihre digitale Zukunft zu sichern, muss die EU ihre einmalige Chance in der Datenwirtschaft jetzt nutzen.“