Ein EU-Binnenmarkt für Daten entsteht
Mit Macht treibt die EU-Kommission ihre Datenstrategie voran. Europa soll eine Spitzenstellung einnehmen in diesem zukunftsentscheidenden Markt. Der bereits veröffentlichte Data Governance Act und der geplante Data Act bilden wichtige Bausteine, die große praktische Auswirkungen haben werden. Wir stellen vor, was auf Unternehmen und Wirtschaftsprüfende zukommt.
Der geplante europäische Binnenmarkt für Daten verändert die Art und Weise, in der Daten in Europa ausgetauscht werden und wird den Zugang und die Nutzung von Daten neu regeln. Dies bietet Potenziale für Innovationen, fordert Unternehmen, Prüfer und Berater aber auch heraus, da die technische und organisatorische Umsetzung der vorgeschriebenen Maßnahmen vor allem des geplanten Data Act anspruchsvoll werden wird.
Die EU-Kommission will einen Binnenmarkt für Daten schaffen, damit die EU die Führungsrolle in einer datengestützten Gesellschaft übernimmt. Die Zahlen geben ihr recht – soll sich doch der Wert der Datenwirtschaft in den 27 EU-Staaten zwischen 2018 und 2025 von 301 Milliarden Euro auf 829 Milliarden Euro fast verdreifachen. Auch wird erwartet, dass die Zahl der Datenfachkräfte sich von 5,7 Millionen auf 10,9 Millionen nahezu verdoppelt (nach Angaben der EU-Kommission).
Von den Potenzialen für Austausch und Nutzung von Daten im Binnenmarkt sollen Unternehmen, Forschende und öffentliche Verwaltungen gleichermaßen profitieren – bei einem gleichzeitig hohen Datenschutz- und Ethikniveau. Umgesetzt werden soll dies mit dem Data Governance Act (DGA) und dem Data Act.
Data Governance Act – Datenaustausch made in Europe
Der Data Governance Act hat es sich zum Ziel gesetzt, ein EU-weites Datenaustauschmodell zu schaffen, mittels dessen Hilfe Unternehmen, Privatpersonen und die öffentliche Hand Daten austauschen können, um sie anschließend gemeinsam sowohl wirtschaftlich als auch für Forschungszwecke zu nutzen. Günstige Bedingungen für datengestützte Innovationen und die Entwicklung von Zukunftstechnologien sollen so entstehen.
Der DGA regelt die Rahmenbedingungen des Datenaustausches in drei zentralen Themenfeldern:
- Daten der öffentlichen Hand: Auch geschützte Daten, die mit öffentlichen Geldern gesammelt wurden, sollen der Gesellschaft zugutekommen. Dabei sollen personenbezogene Daten und Geschäftsgeheimnisse geschützt werden. Hierfür sieht der DGA Regeln vor. Er wird aber keinen europäischen Rechtsanspruch auf derartige Daten gewähren, sondern dies weiterhin den Mitgliedstaaten überlassen.
- Datenvermittlungsdienste: Bei der Datenvermittlung bringen neutrale Datentreuhänder die Dateninhaber mit potenziellen Datennutzern zusammen. Gemäß dem DGA muss der Datenvermittler neutral bleiben, er darf die Daten also nicht zu eigenen Zwecken nutzen. Regeln zur Preisgestaltung und eine Anmeldepflicht sollen das Vertrauen in die Vermittlungsdienste erhöhen.
- Datenaltruismus/Datenspenden: Personen und Unternehmen soll es erleichtert werden, Daten freiwillig zum Wohl der Allgemeinheit bereitzustellen. Organisationen sollen sich als „in der EU anerkannte datenaltruistische Organisation“ eintragen lassen können. Ein EU-weites Einwilligungsformular für Datenspenden soll die Kosten für die Einholung solcher Spenden senken und die Datenübertragbarkeit erleichtern.
Dies bietet Potenziale, um die Entwicklung von Lösungen der Künstlichen Intelligenz zu fördern, die auf große Datenmengen angewiesen sind, und die auch im Bereich der Wirtschaftsprüfung eine Rolle spielen.
Der DGA wurde am 3. Juni 2022 im Amtsblatt der EU veröffentlicht und ist – nach einer Übergangszeit von 15 Monaten – anwendbar ab dem 24. September 2023.
Data Act – Datengesetz regelt Zugang und Nutzung von Daten
Das Inkrafttreten des Data Act liegt dagegen noch in der Ferne – allerdings wird er nahezu jedes Unternehmen betreffen, das Daten erhebt, austauscht, verarbeitet oder kommerzialisiert. Auch Wirtschaftsprüfer*innen sollten sich also frühzeitig mit seinen Auswirkungen befassen.
Der Data Act soll eine Rechtsgrundlage schaffen für den Zugang zu und die Nutzung von Daten. Denn bisher bleiben die meisten Daten ungenutzt oder liegen in den Händen einer kleinen Zahl sehr großer Unternehmen. Daher zielt der Data Act auch auf eine gerechtere Verteilung der datengestützten Wertschöpfung ab. Ausdrücklich nicht erfasst sind dagegen Regelungen zum Eigentum an Daten.
Fünf Bereiche soll die EU-Verordnung regeln:
- Recht der Nutzer an nutzergenerierten Daten: Wenn Verbraucher oder Unternehmen Produkte oder Dienste nutzen, werden zahlreiche Daten erzeugt, die für die Nutzer häufig nicht transparent sind. Hier will der Data Act mehr Rechtssicherheit schaffen. Daher sollen Hersteller und Entwickler künftig sicherstellen, dass die Daten leicht zugänglich sind und sie müssen offenlegen, welche Daten zugänglich sind und wie darauf zugegriffen werden kann. Unberührt bleibt die Möglichkeit der Hersteller, die Daten selbst zu nutzen, sofern dies mit dem Nutzer ihrer Produkte so vereinbart wurde.
- Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen: Dadurch soll sichergestellt werden, dass mächtige Vertragsparteien ihre Verhandlungsposition nicht ausnutzen.
- Recht auf Datenzugang und -nutzung durch öffentliche Stellen bei außergewöhnlichem Bedarf: In Notsituationen wie Pandemien oder Naturkatastrophen sollen Unternehmen verpflichtet werden können, bestimmte Daten bereitzustellen.
- Erleichterung des Wechsels von Datenverarbeitungsdiensten: Vor allem für Cloud-Dienste will der Data Act rechtliche Mindestanforderungen aufstellen, um einen Dienstleisterwechsel zu ermöglichen. So sollen Kunden von Datenverarbeitungsdiensten nicht mehr an lange Vertragslaufzeiten gebunden werden können, da ihnen ein Kündigungsrecht binnen maximal 30 Tagen eingeräumt werden soll – außerdem soll es künftig nicht erlaubt sein, für den Anbieterwechsel Geld zu verlangen.
- Interoperabilität: Mittels offener Standards und Schnittstellen will der Data Act die Anforderungen an die Interoperabilität von Datenerarbeitungsdiensten und an die internationale Datenübertragung regeln und verbessern.
Auf die Prüfer- und Beraterbranche wirkt sich das Gesetzesvorhaben zunächst indirekt aus, da der Großteil der Mandantschaft betroffen sein dürfte. Aber auch der Bedarf der Unternehmen an Prüfungs- und Beratungsleistungen, etwa bei Data Compliance Management Systemen, dürfte zunehmen. Nicht zuletzt sollten die Berufsangehörigen prüfen, inwieweit sich die neuen Datennutzungsregeln auf die eigene Praxis auswirken.
Zunächst muss der im Februar 2022 vorgelegte Entwurf des Data Act seinen Weg durch die EU-Institutionen nehmen. Nach seinem Inkrafttreten ist zusätzlich ein Übergangszeitraum von zwölf Monaten vorgesehen, sodass davon auszugehen ist, dass die Regeln nicht vor dem Jahr 2025 oder 2026 verpflichtend sind. Allerdings sollten sich Unternehmen und Prüfer weit im Voraus auf die mutmaßlich einschneidenden Neuerungen vorbereiten.
Datenräume für Innovationen
Zehn gemeinsame Datenräume sollen in der EU geschaffen werden. Sie reichen von der Industrie bis zur Mobilität, von Green Deal und Finanzen bis zu den Feldern Energie und Gesundheit. Wie ein Arbeitsdokument der EU-Kommission darlegt, sollen auf freiwilliger Basis europäische Datenräume entstehen, in denen Daten gegen Vergütung oder auch unentgeltlich verwendet werden können, und in denen europäische Regeln und Werte zum Daten- und Verbraucherschutz sowie zum Wettbewerbsrecht eingehalten werden. Bei der Entwicklung von Leitlinien soll einem neuen European Data Innovation Board (EDIB) eine entscheidende Rolle zukommen, dessen Schaffung der Data Governance Act anregt. Die gemeinsamen Datenräume stehen in Verbindung mit anderen Initiativen auf regionaler, nationaler und transnationaler Ebene für Datenstrukturen, beispielsweise mit dem privatwirtschaftlichen GAIA-X Projekt, und sollen mit diesen koordiniert werden. Im nächsten Jahr wird die EU-Kommission weiter über die Fortschritte berichten.