DA+

Datenaltruismus ohne Anreiz? Die aktuelle EU-Datenregulierung im Praxischeck

Lesezeit 17 Min.

Seit 2020 treibt die Kommission die europäische Datenstrategie voran. Wohlstand und Wachstum in der europäischen Gesellschaft setzen einen digitalen Wandel und damit neue Technologien, verbesserte Infrastrukturen und ein Konzept voraus, die Datenmengen effizient zu nutzen. Mit dem Digital Services Act (DSA) und dem Digital Markets Act (DMA) befinden sich zwei Rechtsakte im Trilog, dem EU-Abstimmungsverfahren zwischen Kommission, Rat und Parlament. Mit diesen Rechtsakten soll die Marktmacht der Gatekeeper eingehegt und deren Dominanz für die Willensbildung im Netz gebremst werden. Weil die Zukunft der für den Online-Datenschutz relevanten ePrivacy-Verordnung ungewiss ist und für Deutschland mit dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) eine Lösung gefunden ist, rücken aktuell zwei Regulierungsakte in den Fokus: Der Data Governance Act (DGA) und der Data Act (DA).

I. Data Governance Act und Data Act “in a Nutshell”

Was hat es mit dem DGA und dem DA auf sich? Der DGA ist beschlossene Sache. Er soll neue Anreize für eine Datenverwaltung in Europa schaffen. Über Branchen und Ländergrenzen hinweg sollen öffentliche Daten ausgetauscht und für andere Zwecke weiterverwendet werden können. Dem DGA soll in der Perspektive der Data Act (DA) an die Seite gestellt werden, dessen finaler Kommissionsentwurf im Februar veröffentlicht werden soll. Beide Rechtsakte sollen ineinander greifen.

Der DGA regelt, wie öffentliche Daten – etwa über den Verkehr oder das Wetter – verbreitet werden sollen. Der Data Act soll ergänzend dazu, jedem, gleich ob Einzelpersonen, Unternehmen oder öffentlicher Stelle, einen Zugang zu Daten ermöglichen. Geplant ist eine Pflicht zum fairen Datenteilen für Dateninhaber auf Anforderung von Nutzern, auch zugunsten von Dritten. Beschränkungen sollen für geheimhaltungspflichtige Informationen bestehen. Dabei hat man nicht die breite Masse der auf Datenweitergabe angewiesenen Unternehmen wie Rundfunkunternehmer, Verlage und die sonstige Onlinewirtschaft im Auge. Es geht insbesondere darum, die Datennutzung von vernetzten Geräten (IoT) zu regulieren, also wieder einmal um den Rechtsrahmen für Big Data.

Da nicht nur die Gerätehersteller, sondern auch deren Eigentümer und Nutzer über die Zwecke der Nutzung entscheiden sollen, sind hier Konflikte vorprogrammiert. Der DA will dem mit Kompensationsmöglichkeiten für Unternehmen begegnen, die durch das Abkommen dazu verpflichtet werden, ihre Daten zur Verfügung zu stellen. Darüber, ob diese Kompensation auskömmlich und fair ist, sollen Schlichtungsstellen entscheiden. Das zu schaffende Recht muss ein wettbewerbspolitisches Argument aus dem Weg räumen. Es besteht darin, dass die Datenübermittlungspflicht Datenmonopolisten weiter stärken wird, wenn man keine gesetzlichen Anreize dafür schafft, dass alle Daten in Europa bleiben, damit sie hier der Wirtschaft zu Gute kommen können.

Europas Gesellschaft, Wirtschaft und Staaten müssen durch das neue Recht gewinnen. Anreiz, es anzunehmen, könnte zum einen die Schaffung einer rechtlich und technisch sicheren europäischen Infrastruktur sein. Zudem müssten im Datenökosystem Europa faire Wettbedingungen für die europäische Wirtschaft bestehen. Der PIMS-Dienst des TTDSG ist ein Beispiel, weil er Unternehmen eine rechtssichere Einwilligung ermöglicht, auf deren Basis sie wirtschaften können. Nur wenn es gute Alternativen in Europa gibt, kann ein Datenübermittlungsverbot an die „Gatekeeper“ Früchte tragen. Der DA will es „Datenspendern“ hingegen grundsätzlich schlicht verbieten, ihre Daten an „Gatekeeper“ zu geben. Diese Zwangsmaßnahme ist kein Anreiz und mit der Vertragsfreiheit schwer zu vereinbaren. Wenn man seine Daten sonst verschenken muss, überlässt man sie, bei aller Sympathie für den europäischen Datenmarkt, vermutlich lieber den „Gatekeepern“, von deren Geschäft man immerhin profitieren kann.

Vor allem Wirtschaftsvertreter befürchten schon jetzt, dass eine „Datenübermittlungspflicht“ Datenmonopolisten noch weiter stärken würde. Datenschutzrechtlich relevant sind die Regelungen des Data Act insbesondere in Bezug auf die Rechtmäßigkeit der Verarbeitung gem. Art. 6 DSGVO. Sollte der Data Act eine gesetzliche Pflicht zum Datenaustausch enthalten, könnte die Datenübermittlung zur Erfüllung einer Rechtspflicht gemäß Art. 6 Abs. 1 Satz 1 lit. c), Abs. 3 Satz 1 lit. a) DS-GVO erforderlich sein. Auch das Recht auf Datenportabilität gem. Art. 20 DS-GVO könnte an Bedeutung gewinnen, wenn Nutzer ihre Daten aus vernetzten Geräten anderen Akteuren zur Verfügung stellen.

Das Ziel des DGA ist es, „Datensilos“ in den Händen der marktbeherrschenden Tech-Giganten auszutrocknen und so die digitale Souveränität Europas zu stärken. Einzelpersonen und Unternehmen sollen zum Wohl der Allgemeinheit nach EU-Maßgabe freiwillig ihre Daten für die Öffentlichkeit bereitstellen können. Unter der Überschrift Datenaltruismus setzt der DGA auf Datenspenden, damit Einzelne und Unternehmen zum Wohle der Allgemeinheit freiwillig ihre Daten bereitstellen können. Das soll etwa zu Forschungszwecken sowie zur Verbesserung öffentlicher Dienstleistungen geschehen.

Wenn ein europäisches Unternehmen Daten in Europa teilen soll, braucht es dafür, neben Altruismus und Vertrauensstärkung, auch wirtschaftliche Anreize, sonst muss es seine Daten ja schon aus Gründen der Selbsterhaltung weiterhin mit GAFA teilen. Der DGA benennt solche Anreize nicht. Im Gegenteil erinnert er an ein bürokratisches Monster. Es werden hohe Hürden für das Datenteilen aufgebaut. Sie reichen von Anmeldeverfahren, über die Einbindung von Datenmittlern, die die zu teilenden Daten aggregieren, austauschen und die Datenverwender miteinander verbinden sollen. Diese Mittler dürfen die Daten aber nicht für eigene Zwecke nutzen. Ein Pflichtenheft, dessen wirtschaftlichen Mehrwert man kaum erkennt.

II. Der Data Governance-Act im Einzelnen

Während der DA sich im Stadium des Kommissionsentwurfs befindet, soll der DGA im Februar/März 2022 im Amtsblatt der EU veröffentlicht werden. Änderungen des im Trilog gefundenen Kompromisses sind nicht zu erwarten. Das Gesetz soll 15 Monate nach Inkrafttreten der Verordnung gelten.

Das System des DGA fußt auf den drei Säulen Datenmittler, Datenaltruismus und Weiterverwendung von Daten öffentlicher Stellen.

1. Datenmittler

Um zu gewährleisten, dass Daten in Einklang mit dem Datenschutz- und Wettbewerbsrecht weitergegeben werden, braucht es eine unabhängige Stelle – einen Datenmittler. Der Datenmittler soll die gemeinsame Datennutzung erleichtern und das Vertrauen der EU-Bürger stärken. Er soll die zu teilenden Daten aggregieren, austauschen und die verschiedenen Akteure, die Datenverwender, miteinander verbinden.

a) Datenmittler nach DGA
In dem Entwurf des DGA (DGA-E) sind konkrete Anforderungen an Dienste für die gemeinsame Datennutzung festgelegt. Art. 10 DGA-E bestimmt, dass Anbieter von Diensten zur gemeinsamen Datennutzung ein Anmeldeverfahren durchführen müssen. Erst nach der Anmeldung dürfen die Anbieter für die gemeinsame Datennutzung ihre Tätigkeiten aufnehmen. Die Anmeldung muss gegenüber der zuständigen Behörde im jeweiligen Mitgliedstaat erfolgen, vgl. Art. 12 Abs. 1 DGA-E. Um welche Behörde es sich konkret handelt, können die Mitgliedstaaten bestimmen. Die Behörden müssen unparteiisch, transparent, kohärent und rechtzeitig ihre Aufgaben wahrnehmen. Außerdem sind sie verpflichtet, mit den Datenschutzbehörden, den nationalen Wettbewerbsbehörden und weiteren Fachbehörden wie z.B. den für Cybersicherheit zuständigen Behörden zusammenzuarbeiten, Art. 12 Abs. 3 DGA-E. Daraus ergibt sich, dass die Datenschutzaufsichtsbehörden zwar beteiligt werden, nicht aber für die Einhaltung der Anforderungen des DGA zuständig sind.

Neben der Anmeldung muss der Dienst technische, wettbewerbsrechtliche und nutzerbezogene Anforderungen erfüllen. So ist es unter anderem dem Dienst untersagt, die zur Verfügung gestellten Daten für eigene Zwecke weiter zu nutzen. Außerdem muss der Dienst technische und organisatorische Maßnahmen ergreifen, um Datenmissbrauch zu verhindern und eine sichere Speicherung und Übermittlung der Daten zu gewährleisten, Art. 11 DGA-E.

Die zuständigen Behörden sind befugt, zu überprüfen, ob die Datenmittler die in Art. 9 ff. DGA-E genannten Anforderungen einhalten. Im Falle eines Verstoßes können die Behörden Maßnahmen anordnen und Geldstrafen verhängen, Art. 13 DGA-E.

Um einen einheitlichen Vollzug des DGA zu gewährleisten und die Entwicklungen des digitalen Binnenmarktes zu beobachten, soll ein „europäischer Dateninnovationsrat“ gegründet werden. Es handelt sich dabei um eine Expertengruppe, die nicht nur aus Vertretern der zuständigen Behörden aller Mitgliedstaaten besteht, sondern auch aus Vertretern des europäischen Datenschutzausschusses (EDSA), der Kommission und anderen Fachbehörden.

Ein Unterfall der Datenmittler sind Anbieter von Diensten für die gemeinsame Datennutzung, die ihre Dienste betroffenen Personen im Sinne der DS-GVO anbieten. Diese Anbieter sind auf personenbezogene Daten spezialisiert und sollen die Kontrolle der Betroffenen über ihre Daten verbessern. Mithilfe dieser Anbieter können Betroffene ihre Einwilligungen verwalten oder Betroffenenrechte geltend machen.

b) Datenmittler nach DGA und PIMS nach TTDSG
Bisher ist der Datenmittler nur ein Vorschlag in den Entwürfen zum DGA. Der deutsche Gesetzgeber ist schon einen Schritt weiter und hat mit § 26 TTDSG eine verbindliche Regelung zu anerkannten Diensten zur Einwilligungsverwaltung geschaffen. Diese Dienste, auch Personal Management Services (PIMS) genannt, sollen Einwilligungen nach § 25 TDDSG verwalten. Der Dienstanbieter muss ein benutzerfreundliches und wettbewerbskonformes Verfahren zur Verfügung stellen, um die Einwilligungen einzuholen und zu verwalten. Er darf ebenfalls kein wirtschaftliches Eigeninteresse an den verwalteten Daten haben und darf die Daten nicht für weitere Zwecke verwenden, § 26 Abs. 1 TTDSG. Die Regelung zu PIMS stellt einen speziellen Unterfall des Datenmittlers i.S.d. DGA dar.

Im Gesetzgebungsverfahren des TTDSG wurde zunächst eine Regelung zu PIMS vorgeschlagen. Der deutsche Gesetzgeber befürchtete jedoch, dass ein Nebeneinander von europäischen und nationalen Regelungen zu Datenmittlern nicht zielführend ist. Aufgrund der Verhandlungen zum DGA wurde die Regelung zu PIMS im TTDSG daher zunächst wieder gestrichen. Nach zahlreicher Kritik entschied sich der Gesetzgeber schließlich, die Regelung zu PIMS wieder aufzunehmen.

Im Gegensatz zu Art. 11 DGA-E hat der deutsche Gesetzgeber die Anforderungen an PIMS nur abstrakt geregelt. Anforderungen wie Interoperabilität oder faire und transparente Preise sind in § 26 TTDSG nicht ausdrücklich genannt. Allerdings können solche Anforderungen in Anlehnung an Art. 11 DGA-E durch die Rechtsverordnung gem. § 26 Abs. 2 TTDSG konkretisiert werden.

Damit ein Anbieter Einwilligungen im Sinne des § 26 Abs. 1 TDDSG verwalten darf, muss er ein Anerkennungsverfahren durchlaufen. Das bedeutet, dass die zuständige Behörde vor Aufnahme der Geschäftstätigkeiten prüft, ob der Anbieter alle Anforderungen des § 26 TTDSG erfüllt. Der DGA sieht im Gegensatz dazu nur ein Anmeldeverfahren vor. Stellen die zuständigen Behörden fest, dass der Datenmittler die rechtlichen Anforderungen nicht erfüllt, können sie aufsichtliche Maßnahmen ergreifen. Solche Befugnisse wurden den deutschen Aufsichtsbehörden im TTDSG hingegen nicht eingeräumt.

Auch wenn PIMS im weitesten Sinne als Datenmittler bezeichnet werden können, so unterscheiden sich die Ziele, die der deutsche Gesetzgeber mit dem § 26 TDDSG erreichen wollte. Über PIMS sollen Nutzer ihre Einwilligungen erteilen und verwalten können. Die Einwilligungen sind erforderlich, um einen Zugriff oder eine Speicherung auf die Endeinrichtung gem. § 25 Abs. 1 TTDSG sowie die sich anschließende Verarbeitung personenbezogener Daten zu rechtfertigen. Erteilt der Nutzer keine Einwilligung, obwohl es erforderlich wäre, schränkt der Anbieter der PIMS die Datenverarbeitung ein. Der Datenmittler nach dem DGA soll hingegen keine Verarbeitung verhindern, sondern sie ermöglichen, indem sie die bereitgestellten Daten Dritten zur Verfügung stellen.

2. Datenaltruismus

Neben dem Datenmittler sieht der DGA noch ein weiteres Instrument zur innovativen Datenverwaltung vor. Einzelpersonen oder Unternehmen sollen zum Wohle der Allgemeinheit freiwillig ihre Daten bereitstellen. Der häufig als „Datenspende“ bezeichnete Datenaltruismus ist nicht nur beschränkt auf die Bereitstellung personenbezogener Daten von natürlichen Personen. Auch Unternehmen sind dazu angehalten, Daten im Interesse der Allgemeinheit zur Verfügung zu stellen. Die bereitgestellten Daten sollen u.a. zu Forschungszwecken und zur Verbesserung öffentlicher Dienstleistungen verwendet werden. Verwaltet werden die bereitgestellten Daten ebenfalls durch eine unabhängige Stelle. Organisationen, die Daten zu altruistischen Zwecken verarbeiten, werden in einem Register geführt und von den zuständigen Behörden überwacht.

Um zu gewährleisten, dass betroffene Personen leichter eine Einwilligung erteilen und diese Einwilligung die datenschutzrechtlichen Anforderungen der DS-GVO erfüllt, soll die Kommission ein Einwilligungsformular gemäß Art. 22 DGA-E erstellen. Dieses Formular soll in allen Mitgliedstaaten einheitlich sein und kann dem Betroffenen sowohl schriftlich als auch in elektronischer Form zur Verfügung gestellt werden. Eine vergleichbare Vorschrift ist auch in der DS-GVO enthalten. Gemäß Art. 12 Abs. 8 DS-GVO hat die EU-Kommission die Befugnis, standardisierte Bildsymbole zu bestimmen, um die Informationspflichten gemäß Art. 13 und 14 DS-GVO zu erfüllen. Von dieser Befugnis hat die Kommission bislang keinen Gebrauch gemacht.

Von Einwilligungsformularen für den Datenaltruismus könnten auch weitere Akteure profitieren. Die Formulare könnten als rechtssichere Vorlage für Verantwortliche dienen, um für eigene Verarbeitungszwecke eine wirksame Einwilligung einzuholen.

3. Weiterverwendung von Daten öffentlicher Stellen

Als weiteren Baustein schreibt der DGA Bedingungen für die Weiterverwendung von Daten vor, die im Besitz öffentlicher Stellen und die geschützt sind, insbesondere geistiges Eigentum.

III. Verhältnis des DGA zur DS-GVO

Der DGA ist weder spezifisches Datenschutzrecht, noch unterläuft der Rechtsakt das Datenschutzniveau der DS-GVO. In puncto Betroffenenrechte schafft der DGA lediglich mit dem Dienst für die gemeinsame Datennutzung ein Instrument, mit dem eine Person ihre Betroffenenrechte geltend machen kann. Der Umfang der Betroffenenrechte richtet sich ausschließlich nach der DS-GVO. Der DGA enthält auch keine vorrangigen Rechtsgrundlagen zur Datennutzung. Soweit personenbezogene Daten verarbeitet werden, bedarf es einer Rechtsgrundlage nach der ePrivacy-RL oder der DSGVO. Insbesondere bei der Datenspende natürlicher Personen wird in der Regel eine Einwilligung gemäß Art. 6 Abs. 1 lit. a), Art. 7, Art. 9 Abs. 2 a) DS-GVO erforderlich sein, um die Datenverarbeitung für Forschungszwecke zu legitimieren.

Außerdem gelten für die Anbieter der Dienste zur gemeinsamen Datennutzung uneingeschränkt die Anforderungen für Verantwortliche und Auftragsverarbeiter nach der DS-GVO. Die Vorschriften zum Schutz der Privatsphäre und zum Schutz personenbezogener Daten gelten daher uneingeschränkt neben den Regelungen des DGA.

Bei der Datenteilung nach DGA und DA geht es in der Sache um „Big Data und damit um ein ungelöstes Spannungsfeld zur DS-GVO, nach der sich die Verarbeitung personenbezogener Daten in der EU richtet. Bei Licht betrachtet ist Datenmaximierung vor dem Hintergrund des Grundsatzes der Datenminimierung nach der DS-GVO nicht zwangsläufig problematisch. Wenn der Nutzer auf vertraglicher Basis entgegen des Grundsatzes der Datensparsamkeit eine Datenmaximierung wünscht, etwa weil er möglichst viele Klicks will, um nach den Regeln sozialer Medien wirtschaftlich zu reüssieren, dann verwehrt ihm die DS-GVO das nicht. Bei der Gelegenheit fällt aber auf, dass die Vielzahl der aktuellen Regulierungsakte mit ihren zahlreichen Querverweisen auf andere Rechtsakte und Parallelregulierungen groteske Züge annimmt. Aktuell werden zum Beispiel etwa im DSA und im DMA Regeln für personenbezogene Daten geschaffen, die neben der DS-GVO stehen sollen. Im Entwurf zu Art. 13 a und b des DSA versucht das EU-Parlament, Hand an die Voraussetzungen der Einwilligung nach DS-GVO zu legen. Auch der DA soll in Regeln der DS-GVO eingreifen, indem er erweiterte Vorgaben an das Recht zur Datenportabilität formuliert.

IV. Praxisfälle

1. Usecase: Pandemiebekämpfung

Schon heute können auch ohne eine Rechtsverordnung zu PIMS oder den DGA Betroffene ihre Daten freiwillig bereitstellen. Seit April 2020 bietet das Robert Koch-Institut die Corona-Datenspende-App an. Mehr als 458 Mio. Daten wurden seit dem Start der App gespendet. Die Nutzerdaten stammen von Fitnesstrackern und Smartwatches und enthalten Vital- und Aktivitätswerte. Dadurch ist es möglich, die Nutzer auf mögliche Fiebersymptome zu analysieren. Ziel ist es, mögliche Anzeichen von Long-Covid-Erkrankungen zu erkennen und die Algorithmen des Fiebermonitors zu verbessern. Weicht der Ruhepuls vom mittleren Tageswert ab, kann das auf Fieber hindeuten. Auch Daten über das Schlafverhalten werden zur Erkennung von Symptomen verwendet.

Dass die Daten von Fitnesstrackern nicht nur dem Nutzer selbst dienen, sondern auch für Forschungszwecke geeignet sind, zeigen bereits vergleichbare Studien. So konnte in den USA mithilfe der Daten der Fitnesstracker die Verbreitung der Influenza nachvollzogen werden. Außerdem können regionale Corona-Hotspots schneller erkannt werden, um das Infektionsgeschehen vorhersagen zu können. Bevor der Nutzer seine Daten spenden kann, wird eine Einwilligung eingeholt. Die Verarbeitung der Gesundheitsdaten erfolgt somit auf Grundlage der Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a) DS-GVO. Nachdem der Nutzer seine Einwilligung erteilt hat, kann er sich unter Pseudonym anmelden und persönliche Informationen wie Geschlecht, Geburtsjahr, Körpergröße, Gewicht sowie die Postleitzahl angeben. Die Daten der Fitnesstracker werden täglich an den Server des RKI übermittelt. Die analysierten Daten werden anschließend online zur Verfügung gestellt. Doch auch ohne Fitnesstracker können sich Nutzer an der Datenspende beteiligen. Das Robert Koch-Institut führt mehrere wissenschaftliche Studien durch, bei denen die App-Nutzer Fragebögen, z.B. beantworten können. Nach Angaben des RKI werden die Daten für maximal 10 Jahre für wissenschaftliche Zwecke verarbeitet.

Wieso braucht es dann noch einen einheitlichen Rechtsrahmen? Welche Daten an das RKI übertragen werden, entscheidet im Wesentlichen nicht der Nutzer, sondern der Anbieter des Fitnesstrackers bzw. der Gesundheits-App. Je nach Anbieter enthalten die Datensätze nicht nur die Vital- und Aktivitätswerte, sondern auch weitere Profildaten wie zum Beispiel Angaben zum Google-Konto, Vor- und Nachname, E-Mail-Adresse sowie weitere konkreten Aktivitätsdaten, die vom RKI nicht benötigt werden. Das kann die Datenanalyse erschweren und entspricht auch nicht dem Grundsatz der Datenminimierung. Solche Daten, die für das Robert-Koch-Institut nicht im Rahmen der Studien erforderlich sind, werden trotzdem übertragen und erst serverseitig beim Robert-Koch-Institut herausgefiltert und gelöscht. Ein Rechtsrahmen zur Datenspende ist auch deshalb nötig, um die Akzeptanz der Nutzer zu erhöhen. Das zeigt ein Vergleich zwischen der Corona-Datenspende-App und der Corona-Warn-App, die beide vom Robert Koch-Institut betrieben werden. Die Corona-Warn-App wurde seit September 2020 mehr als 40 Millionen Mal heruntergeladen. Die Corona-Datenspender-App kann gerade einmal 530.000 Nutzer verzeichnen. Doch der DGA soll nicht nur den Datenaltruismus fördern. Die Corona-Datenspenden-App sammelt Gesundheitsdaten, die derzeit nur zentral vom RKI verarbeitet werden. Eines der wichtigsten Ziele des DGA ist es, diese Daten auch anderen Akteuren innerhalb Europas zur Verfügung zu stellen. Forschungseinrichtungen könnten beispielsweise die Gesundheitsdaten mit Nutzern anderer Mitgliedstaaten vergleichen und durch die vergrößerte Datenbasis weitere Erkenntnisse erzielen.

Auch Corona-Impfungen könnten ein weiterer Anwendungsfall für die Datenverwaltung durch einen Datenmittler und das freiwillige Bereitstellen der Daten sein. Die Technologie dafür besteht bereits, denn EU-Bürger verwalten schon heute ihre digitalen Impfungszertifikate über eine App. Die Apps könnten um weitere Funktionen ergänzt werden. Nutzer könnten ihren Impfstatus unter Angabe der Gültigkeitsdauer einer zentralen Stelle zur Verfügung stellen. Dadurch könnte die Beschaffung von Impfstoffen vorausschauender geplant werden. Nutzer könnten an eine Booster-Impfung automatisch erinnert werden, und der Staat könnte aufgrund fundierter Datenlage weniger eingriffsintensive Maßnahmen zur Bekämpfung der Pandemie ergreifen. Würden die Daten geteilt werden, könnten europaweit mehr wissenschaftliche Studien zu Impfdurchbrüchen oder Nebenwirkungen durchgeführt werden.

2. Usecase: Mobilität

Die europäische Automobilindustrie arbeitet seit Jahrzehnten daran, das Ziel vom autonomen Fahren umzusetzen. Es wird noch viele weitere Jahre dauern, bis Fahrzeuge sicher ohne menschliches Zutun fahren können. Die Entwicklung des autonomen Fahrens könnte erheblich beschleunigt werden, wenn Fahrzeug- und Umgebungsdaten vom Fahrer bereitgestellt werden. Mobilitätsdaten werden derzeit nur von wenigen Gatekeepern verarbeitet. Wer auf der Autobahn auf einen Stau zufährt, muss sich entscheiden, ob er das Warten in Kauf nimmt oder auf einer schnelleren Route auf Umgehungsstraßen ausweicht. Doch diese Entscheidung trifft der Fahrer nicht allein, sondern er vertraut seinem Navigationsdienst. Wenn der Algorithmus dem Fahrer vorschlägt, auf der Autobahn im Stau zu bleiben, mag das sinnvoll sein, um die Umgehungsstraßen zu entlasten. Doch mit digitaler Souveränität hat das nichts zu tun, wenn einzelne Unternehmen durch gezielte Navigation den Verkehrsstrom lenken. Verkehrsregelung ist Teil der Daseinsvorsorge und somit eine staatliche Aufgabe. Das ist ein weiterer Grund für die EU, um eine gemeinsame Datenwirtschaft voranzutreiben. Indem Bürger ihre Standortdaten in Echtzeit teilen, können Staus verhindert werden. Das vermeidet nicht nur umweltschädliche Emissionen, sondern auch erhebliche Zeitverluste, die derzeit laut EU einen wirtschaftlichen Wert von 20 Milliarden EUR ausmachen.

Weiterhin könnten die Daten der vernetzten Fahrzeuge verwendet werden, um Fahrer über Gefahrenquellen auf der Strecke, wie z.B. Schlaglöcher oder Hindernisse, frühzeitig zu warnen. Die Verarbeitung dieser sog. Schwarmdaten ist datenschutzrechtlich nicht unumstritten, denn es fehlt hierfür an einer bereichsspezifischen Rechtsgrundlage. Der Fahrer, dessen Fahrzeug frühzeitig ein Hindernis erkennt, warnt den dahinterliegenden Verkehr. Der Fahrer selbst profitiert von dieser Datenverarbeitung jedoch nicht, sodass die Verarbeitung weder aufgrund eines Vertrages noch aufgrund einer Interessen-Abwägung legitimiert werden kann. Hinzu kommt, dass diese Daten zugleich Informationen einer Endeinrichtung im Sinne des § 25 Abs. 1 TTDSG darstellen. Ob die Ausnahmeregelungen des § 25 Abs. 2 TTDSG gelten, ist fraglich, denn der Zugriff auf das Fahrzeug ist weder zu einer Nachrichtenübermittlung i.S.d § 25 Abs. 2 Nr. 1 TTDSG noch zur Erbringung eines Telemediendienstes erforderlich i.S.d § 25 Abs. 2 Nr. 1 TTDSG.

V. Fazit

Weil es im DGA vorrangig um die freiwillige Spende von Daten geht, kann das Gesetz zumindest keinen wirtschaftlichen Schaden anrichten. Das ist beim DA anders, denn hier soll es um eine Pflicht zur Teilung privater Daten gehen. Will Europa die digitale Souveränität seiner Bürger wahren, dann muss der Regulierer den Rahmen nicht nur mit Anreizen für die Wirtschaft versehen, sondern auch die Verteilungskämpfe um die Daten in Europa friedlich und schiedlich lösen. Hier muss neu justiert werden. Aktuell bieten DGA und DA erkennbar bestenfalls Anreize für Veredler von IOT-Daten auf dem „After Market“, die das Musikstreaming oder Energienutzungsverhalten der Nutzer in deren Sinne von Stroh in Gold verwandeln sollen. Als Mittel dazu setzt der DA auf den Ausbau der Datenportabilität. Dieses Instrument hängt als Damoklesschwert über der Wirtschaft, weil es sie zwingt, Daten, die keine Geschäftsgeheimnisse sind, im Sinne der Allgemeinheit oder auf Nutzerwunsch aus der Hand zu geben. So zerstört man den Binnenmarkt eher, als dass man ihn stärkt.