Titelbild: Image by NoName_13 from Pixabay
Daten werden mehr um mehr ein Erfolgsfaktor im nationalen und internationalen Geschäftsleben. Sie werden zum Geschäftsmodell selbst, indem sie als Ware gehandelt werden oder die Auswertung und Analyse zu neuen Geschäftsmodellen führt. Die Datenmengen die in der digitalen Welt erzeugt wird ist dabei schier unbegreiflich. 175 Zettabyte werden heute pro Jahr erzeugt. Waren es 2018 noch 33 Zettabyte pro Jahr kann man das starke, nach wie vor ungebremste Wachstum der Datenmengen pro Jahr ermessen. Unbegreiflich ist dabei, dass 80% der Daten, insbesondere Industriedaten, gar nicht genutzt werden. Diese Daten werden erhoben und gespeichert und nicht weiter verwendet. Da liegt eine Schatz an Erfahrungen, Erkenntnissen, Wissen in den Datenspeichern der Unternehmen, der nur darauf wartet endlich gehoben – oder wie Data-Scientists sagen: „gemined“ (von Data Mining) – werden. Man schätzt, dass der Wert der ungenutzten Daten auf zig Milliarden Euro, die im BIP des Euroraums heute fehlen, in Zukunft aber erheblich zum Wachstum beitragen können.
Gründe für diese pure Verschwendung an Wissen aus Daten gibt es viele und reichen von technischen Problemen, fehlende Ressourcen bis hin zur Ignoranz im Management oder fehlendem Innovationswillen oder Innovationsgeist in vielen, oft noch konservativ geleiteten Unternehmen. Ein Grund ist aber auch die fehlende Regulierung einer möglichen nationalen und internationalen Datenwirtschaft. Bis heute haben wir als rechtlichen Rahmen im Umgang mit Daten die DSGVO (GDPR), die wenigsten die persönlichen Daten von Personen schützt und den Umgang mit persönlichen Daten regelt. Das reicht aber nicht. Es gibt auch andere Daten die nicht persönlich sind. Man denke an Telemetriedaten bei Maschinen, Daten von Wetterstationen, Verkehrssystemen, IoT-Systeme, Automobilen uvm. All diese Daten könnten von Anwendungen genutzt werden und neue Geschäftsmodelle hervorbringen. Allerdings besteht (legistische) Unsicherheit, ob diese Daten nutzbar, übertragbar, handelbar sind. Das will die EU nun mit einer Regulierungsoffensive im Bereich Data Governance ändern und ein neues Zeitalter der Datenwirtschaft einläuten.
Dabei hat die Europäische Kommission begonnen wie im obigen Bild dargestellt, den Umgang mit Daten zu regeln, eine legistische Grundlage zu schaffen. Dabei gibt es mehrere Ebenen und diese bauen teilweise aufeinander auf. Sehen wir uns nun grob die Inhalte der Ebenen an:
GDPR (DSGVO) – Verordnung 2016/679
Die Datenschutzgrundverordnung regelt, wie schon erwähnt, den Umgang mit persönlichen Daten natürlicher Personen. Diese Verordnung ist sei 25.5.2018 in Kraft und EU-weit gültig. Man kann diese auch als Basis verstehen, denn die nachfolgenden Gesetzesvorlagen, weichen diese Verordnung in keiner Weise auf. Jegliche nachfolgende Verordnung muss die Rechte der Personen auf den Schutz ihrer persönlichen Daten achten und darf dieses DSGVO nicht verletzen. Weiters gilt die DSGVO für alle Organisationen innerhalb der europäischen Union (Behörden, Institutionen, Unternehmen, …) und auch Unternehmen, die Dienstleistungen in der europäischen Union anbieten und muss eingehalten werden. Die DSGVO ist seit 25.Mai 2018 in Geltung getreten.
Rahmen für den freien Verkehr nicht-personenbezogener Daten (VO) – Verordnung 2018/1807
Mit dieser Verordnung erfolgt nun die Festlegung, dass der Datenzugriff innerhalb der EU über Landesgrenzen hinweg möglich ist. Das basiert auf folgenden regeln:
- Sicherung der Verfügbarkeit: Der neue Rechtsrahmen soll vor allem die Verfügbarkeit von Daten für Behörden über Landesgrenzen hinweg sicherstellen.
- Gemeinsamer Datenraum: Es soll ein gemeinsamer europäischer Datenraum entstehen, welche durch diese Leitlinien der Verordnung sichergestellt wird. Natinale Regelungen bedürfen der Zustimmung der EU.
- Sanktionen: Sanktionen gegen Datenbesitzern, wenn diese nach Aufforderung einer zuständigen Behörde den Zugriff auf Daten verweigern, können erlassen werden. Auch das gilt über Ländergrenzen hinweg.
- Mitteilung von Lokalisierungsauflagen: Etwaige verbleibende oder geplante Datenlokalisierungsauflagen müssen die Mitgliedstaaten der EU-Kommission mitteilen. Die Kommission kann über die ausschließlich lokale Verfügbarkeit entscheiden und diese auch als unzulässig erklären. Das heißt, es ist nicht zulässig, das Mitgliedsstaaten festlegen, dass Daten ausschließlich im Inland gespeichert werden, es muss dafür einen triftigen Grund geben.
Der Rechtsakt ist im wesentlichen ein Rahmen für die Gesetzgeber und engt deren Regulierungsmöglichkeiten in Bezug auf Daten ein. Mit 28.Mai 2019 ist die Verordnung anzuwenden!
Data Governance Act (DGA) – Verordnung 2022/868
Der Daten-Governance-Rechtsakt ist eine Verordnung der Europäischen Union, der die gemeinsame Nutzung von Daten über Organisationsgrenzen hinweg unter definierten Regeln erlaubt bzw. erleichtert. Mit dem Daten-Governance-Rechtsakt hat die Europäische Kommission die Grundlagen für die Schaffung eines europäischen Datenaustauschmodells in Kraft gesetzt und damit ein weltweit führendes Regelwerk für eine Datenwirtschaft gelegt. Der DGA
- regelt den Datenaustausch und die Datenweitergabe öffentlicher Stellen
- definiert den Anmelde-und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten.
Der Rechtsakt ist ab 24.September 2023 anzuwenden!
Data Act (DA) – Entwurf 23.2.2022
Diese Verordnung liegt derzeit als Entwurf vor. Man erwartet dass die Kommission diese Gesetzvorlage im Laufe von 2023, spätestens 2024 verabschiedet. Der Data-Act beschreibt bzw. regelt:
- Maßnahmen, um Nutzer Zugriff zu den von ihren vernetzten Geräten erzeugten Daten zu gewähren. Hersteller von Geräte und Systemen mit Internetverbindung sammeln Daten in Cloud-Services und IoT-Systemen und nutzen diese dann für Produktverbesserungen bzw. geben diese an Dritte weiter. Hier soll den Nutzern die Möglichkeit gegeben werden, dass sie auf diese von ihnen durch Systemnutzung erzeugten Daten auch zugreifen können.
- Maßnahmen zur Hebung der Rechte von KMUs. Diese sollen mehr Verhandlungsmacht erhalten und Ungleichgewichte in Verträgen über die gemeinsame Datennutzung verhindern. Der Schutz bezieht sich auf die Vermeidung missbräuchlicher Vertragsklauseln in Verträgen, die heute von Vertragsparteien mit einer deutlich stärkeren Verhandlungsposition vorgegeben werden. Mustervertragsbedingungen sollen dazu von der Kommission ausgearbeitet und frei zur Verfügung gestellt werden.
- Die Möglichkeit und Mittel für Behörden für den Zugriff auf im Besitz des Privatsektors befindlichen Daten (z.B. Umweltdaten, Sensordaten, …). Dieser Zugriff ist nur möglich bei besonderen Umständen und öffentlichen Notständen, wie Naturkatastrophen (Überschwemmungen, Erdbeben, Waldbrände, usw.).
- Rechte für Kunden zum Wechseln von Anbietern von Cloud-Datenverarbeitungsdiensten und IoT-Systemen, bei gleichzeitigen Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen.
Artificial Intelligence Act (AIA) – Entwurf 28.9.2022
soll die Nutzung und Anwendung künstlicher Intelligenz regeln und besonders Gefahren durch die Anwendung künstlicher Intelligenz ausschließen. Hier geht es nicht um Daten an sich, sondern bereits um eine spezifische Nutzung der Daten für das Trainieren von neuronalen Netzen. Trotzdem sehe ich das als Teil der Datenstrategie der EU, weil sich durch diese Gesetzesvorlage der Nutzungsbereich von Daten auch für das Trainieren und Validieren von Neuronalen Netzen einschränkt. Die Einschränkung erfolgt dabei auf einem risikobasierten Ansatz, wobei man die Risikoabstufung wie folgt sieht:
- Unakzeptables Risiko -> Verbot des Einsatzes von KI (z.B. social scoring)
- Hohes Risiko -> Einhaltung von Normen und Zertifizierung der KI ist notwendig (z.B. autonomes fahren)
- Begrenztes Risiko -> Informationspflicht an die Nutzer der KI (z.B. Übersetzungsdienstleistungen)
- Geringes bis kein Risiko -> keine Vorgaben und Einschränkung der Nutzung (z.B. einfache Industrieanwendungen, virtuelle Sensoren,..)
Derzeit liegt mit 28.September 2022 der letzte Entwurf der EU zum AI-Act vor. Es wird wohl eher 2024 werden, bis wir hier die Verabschiedung der Verordnung zur Künstlichen Intelligenz sehen werden. Nichtsdestotrotz ist es notwendig sich schon heute über die Regelwerke und deren Auswirkungen auf das eigene Geschäft Gedanken zu machen.
Fazit
Die EU will mit den Datenverordnungen die rechtlichen, wirtschaftlichen und technischen Hindernisse beseitigen, die einer freien Datennutzung – einer Datenwirtschaft- im Wege stehen. Dabei erwartet man mit dieser Strategie nichts weniger als die globale Führungsrolle für eine faire Dateninfrastruktur, welche für Fairness im digitalen Märkten sorgt, die Wettbewerbsfähigkeit der Unternehmen steigert und innovative Datenmärkte mit neuen, vielleicht disruptiven Geschäftsmodellen fördert. Geschätzt dürfte bzw. erwartet wird, dass mit der Regulierung der Datenmärkte das EU-BIP bis zum Ende dieses Jahrzehnts um zusätzliche 250 Mrd. Euro gesteigert werden kann.
Das geht eben nur, wenn die Datenwirtschaft einem klaren Regelwerk unterworfen wird, denn nur dann kann ein fairer Wettbewerb entstehen. Es muss für jeden Beteiligten im Datenbusiness klar sein, wer welche Daten erhebt, verarbeitet, besitzt und unter welchen Bedingungen er diese Daten nutzen oder verkaufen kann. Das ist auch der wesentliche Fortführung zur Datenschutzgrundverordnung (DSGVO). Dort geht es ausschließlich um den Schutz persönlicher Daten. Hier aber betrachten wir Daten aus der Industrie, im behördlichen Bereich oder auch in Web-Infrastrukturen (z.B. IoT-Systeme), welche erhoben, verarbeitet, aufbereitet und an andere Marktteilnehmer angeboten werden. Es muss hier ein klares Rechtsverständnis geben, ähnlich wie beispielsweise in der Musikindustrie. Dann und nur dann kann es funktionieren. Die EU ist auf dem besten Weg das sicher zu stellen!
Elektroniker, Requirements-Engineer, Business Manager, Data-Scientist, Business Model Designer, Compliance Manager, Innovator, Sachverständiger, Allrounder
+43 660 / 24 02 033
https://ec.europa.eu/commission/presscorner/detail/de/ip_22_1113