Was, wenn alle Nutzer von Sprachassistenten wie Alexa, Google Assistant oder Siri Zugang zu den Daten erhalten würden, die durch ihre Nutzung der Dienste generiert werden? Wenn Anbieter von Cloud-Infrastruktur gemeinsame Standards schaffen müssten, um einen problemlosen Wechsel zur Konkurrenz zu gewährleisten – bei gleichzeitigem Schutz vor staatlichem Zugriff? Das und mehr plant die EU mit dem Data Act, einem Gesetzesvorschlag, den die EU-Kommission Ende Februar vorlegen will. "Euractiv" liegt bereits ein Entwurf des Gesetzes vor.

Sowohl Einzelpersonen als auch Unternehmen sollen laut dem Data Act Zugang zu Daten beantragen können, die dank ihrer Nutzung bestimmter Services generiert wurden, heißt es in dem Bericht. Dabei nennen die Berichterstatter insbesondere Sprachassistenten. Wer Amazons Alexa, den Google Assistant oder Apples Siri verwendet, soll also in verständlicher Form bestimmte Datensätze der Anbieter erhalten – und diese anschließend auch mit Dritten teilen dürfen.

Gatekeeper

Gleichzeitig wird im Entwurf klargestellt, dass freigegebene Daten nicht zur Entwicklung von Konkurrenzprodukten genutzt werden dürfen. Hier knüpft der Data Act an ein weiteres EU-Gesetz an, das sich derzeit in Verhandlung befindet: den Digital Markets Act (DMA). Dieser definiert sogenannte Gatekeeper, also Konzerne mit besonders großer Marktmacht und Bedeutung, zu denen insbesondere die Big-Tech-Unternehmen Apple, Google, Facebook und Amazon zählen. Laut dem Data Act dürfen erhaltene Daten nicht an ebendiese Gatekeeper weitergegeben werden.

Umgekehrt dürfen Dateninhaber laut "Euractiv" die Herausgabe technisch nicht unterbinden. Das soll mit dem Verbot sogenannter "Dark Patterns" untermauert werden. Dabei handelt es sich um bewusst manipulativ gestaltete Designelemente auf Webseiten, die die Entscheidungsfreiheit von Nutzern einschränken sollen. Das bekannteste Beispiel für dieses Phänomen sind vermutlich Cookie-Banner. Häufig sind diese so gestaltet, dass die Möglichkeit der Ablehnung kaum aufzufinden ist. Oder aber, sie sind farblich so codiert, dass man versehentlich auf "Akzeptieren" klickt, obwohl man es nicht wollte.

Keine Manipulation

Der Entwurf stellt daher klar: Drittanbieter dürfen "den Nutzer in keiner Weise zwingen, täuschen oder manipulieren, indem sie die Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen, auch nicht durch eine digitale Schnittstelle zum Nutzer". Ausgenommen von dieser Regel sollen nur unabhängige Kleinunternehmen sein.

Zusätzlich solle der Datenzugang nicht durch unangemessene Nutzungsbedingungen unterbunden werden. Das würde "grob von der guten Geschäftspraxis beim Datenzugang und bei der Datennutzung" abweichen und "gegen Treu und Glauben und gegen den fairen Handel" verstoßen, zitieren die Berichterstatter den Entwurf.

Für die Austragung möglicher Konflikte sollen in den Mitgliedsstaaten spezielle Streitbeilegungsstellen bereitstehen. Diese seien dann für all jene Fälle zuständig, die bisher noch nicht vor anderen Institutionen oder Gerichten verhandelt wurden.

Kein Zugriff für Strafverfolgung

Behörden sollen nur im Ausnahmefall auf entsprechende Daten zugreifen können. Dazu zählen derzeit Naturkatastrophen, Notfälle im Bereich der öffentlichen Gesundheit – zu denen zum Beispiel die Corona-Pandemie gehören dürfte – und Terroranschläge. Klar ausgeschlossen wird eine Nutzung für die Strafverfolgung. Das Nutzungsrecht soll zudem einmalig gelten. Die Wiederverwertung ist nur für Forschungszwecke erlaubt.

Nicht zuletzt sieht der Entwurf des Data Act neue Regeln für Anbieter von Cloud-Infrastruktur vor. Zu den größten zählen das Amazon-Tochterunternehmen AWS, Google und Microsoft. Die Dienste sollen zur Interoperabilität verpflichtet werden, um Nutzern einen problemlosen Wechsel des Anbieters zu gewährleisten. Wolle man also also eine Anwendung oder Software von einem Cloud-Service zu einem anderen bewegen, müsse dieser eine "funktionale Äquivalenz" sicherstellen.

Die Cloud-Anbieter sollen zugleich in die Pflicht genommen werden, Maßnahmen zu ergreifen, mit denen übertragene Daten vor unerlaubtem staatlichem Zugriff geschützt werden. Gerichtliche Anordnungen aus Drittstaaten seien nur dann anzuerkennen, wenn sie auf internationalen Abkommen beruhen.

Durchsetzung auf nationaler Ebene

Für die Durchsetzung der aufgelisteten Maßnahmen sollen laut der EU-Kommission die Mitgliedsstaaten verantwortlich sein. Diese sollen dafür eigene Behörden schaffen. Infolge dessen sollen auch etwaige Sanktionen im Fall von Verstößen auf nationaler Ebene ausgearbeitet werden. Den Entwurf wird die Kommission voraussichtlich am 23. Februar vorlegen. (mick, 8.2.2022)