Patrick Upmann

AI Governance. Built it. Written it. Defending it.

Schlagwort: DIHK

  • Data Act – DIHK Stellungnahme zum Vorschlag für eine Verordnung 

    Data Act – DIHK Stellungnahme zum Vorschlag für eine Verordnung 

    Harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz)

    Grundlage dieser Stellungnahme sind die dem DIHK bis zur Abgabe der Stellungnahme zugegangenen Äußerungen der IHKs sowie die wirtschaftspolitischen/europapolitischen Positionen des DIHK. Sollten dem DIHK noch weitere in dieser Stellungnahme noch nicht berücksichtigte relevante Äußerungen zugehen, wird der DIHK diese Stellungnahme entsprechend ergänzen.

    A. Das Wichtigste in Kürze

    Das Ziel der EU-Kommission, eine breitere Datennutzung industrieller Daten zu ermöglichen und das Potential für die langfristige Stärkung von Innovation und Wachstum zu nutzen, ist grundsätzlich zu unterstützen. Dafür benötigen Unternehmen verlässliche Rahmenbedingungen. Besonders mit Blick die Nutzung von Daten, an deren Entstehung mehrere Parteien mitgewirkt haben, bedarf es klarer und verständlicher Regeln, die es Unternehmen ermöglichen, rechtssicher ihre Geschäftsmodelle darauf aufzubauen. Daneben dürfen Unternehmen nicht durch Bürokratie und komplexe rechtliche Vorgaben überlastet werden.

    Bei der Entscheidung über Zugangs- bzw. Nutzungsansprüche ist zu berücksichtigen, dass Daten ein wichtiger Wettbewerbsvorteil von vielen Unternehmen sind. Der Anreiz für Dateninhaber und Hersteller, datengetriebene Produkte, Dienstleistungen und Geschäftsmodelle zu entwickeln, muss erhalten bleiben. Ansonsten droht eine Abwanderung von IT- und Industriebetrieben und damit von Know-how ins Ausland. Gleichermaßen sollten Daten als Grundlage für die Entwicklung neuer Technologien und Dienstleistung in ausreichendem Maße zur Verfügung stehen. Insgesamt muss die Innovationsfähigkeit aller an der Datenwertschöpfungskette Beteiligten und der Schutz von sensiblen, wettbewerbsrelevante Informationen ausreichend gesichert werden. Dies gilt auch im Kontext mit weiteren im Data Act – E vorgesehene Regelungen, wie die Weiterverwendung von Daten des Privatsektors durch den öffentlichen Sektor, sowie den geplanten Vorschriften für Anbieter von Datenverarbeitungsdiensten.

    Besonders wichtig ist aus Sicht der deutschen Wirtschaft daher:

    • Klare, abgrenzbare Definitionen und Voraussetzungen für die Heraus- und Weitergabe zu schaffen, um Rechts- und Planungssicherheit zu erreichen.
    • Zugangs- und Nutzungsrechte nicht exklusiv auf den Nutzer zu beschränken, um die berechtigten Interessen und die Innovationsfähigkeit aller Beteiligten zu gewährleisten.
    • Ein hohes Schutzniveau für Geschäftsgeheimnisse und geistiges Eigentum sicherzustellen. B. RelevanzfürdiedeutscheWirtschaftDaten sind ein wichtiges Wirtschaftsgut und ein entscheidender Wettbewerbsfaktor für Unternehmen. Sie können nicht nur genutzt werden, um bestehende Prozesse im Betrieb zu optimieren, sondern dienen zunehmend dem reinen Geschäftsmodell von Unternehmen. Die Betriebe möchten die Potentiale aus Daten nutzen; stoßen dabei jedoch häufig auf Hindernisse. Eine Sonderauswertung der DIHK-Digitalisierungsumfrage (Februar 2022) unter ca. 4.300 Unternehmen zeigt, dass rechtliche Unsicherheiten für Deutschlands Unternehmen das größte Problem bei der stärkeren Nutzung von Daten sind. Danach fühlen sich 57 Prozent der Unternehmen durch datenschutzrechtliche Hemmnisse behindert, für weitere 38 Prozent der Unternehmen sind rechtliche Unklarheiten beispielsweise über Nutzungsansprüche ein Hindernis. Die Schaffung von Klarheit über Zugangs-, Nutzungs- und Weitergaberechte ist für die Unternehmen daher von großer Bedeutung.Aus den Ergebnissen der Konsultation durch die IHKs und deren Mitgliedsunternehmen zu den Plänen eines Datengesetzes lässt sich ableiten, dass eine Vielzahl an Unternehmen Schwierigkeiten beim Zugang zu Daten hat. Dabei ergeben sich teilweise auch Ungleichgewichte bei den Vertragsverhandlungen zur Gewährung des Zugangs zu den Daten. Dies gilt insbesondere für kleinere Unternehmen, die aufgrund ihrer Marktstellung oftmals keine ander Wahl haben, als nicht verhandelbare Vertragspositionen zu akzeptieren. Vielmals wird schon auf technischer Ebene von großen Plattformen ein Zugang zu relevanten Daten vereitelt. Daraus lässt sich die Notwendigkeit der Schaffung eines ausgleichenden Ordnungsrahmens rechtfertigen.Der Deutsche Industrie- und Handelskammertag (DIHK) vertritt die Interessen aller Unternehmen der deutschen gewerblichen Wirtschaft, einschließlich Hersteller, Produkt- und Softwareentwickler, Nutzer sowie Anbieter von Datenverarbeitungsdiensten. Um die Interessen aller an der Datenwertschöpfungskette beteiligten Akteure bestmöglich in Einklang zu bringen und die Innovationsfähigkeit der deutschen gewerblichen Wirtschaft insgesamt zu sichern, schlägt der DIHK folgende Nachbesserungen vor:C. ImEinzelnenZu Kapitel I: Rollendefinition und Begriffsbestimmungen
    • Bei der Nutzung von vernetzten Geräten oder Maschinen fallen Daten an, die für unterschiedliche an der Datenwertschöpfungskette Beteiligte von Interesse sein können. Um klare und differenzierte Regelungen für das Zusammenspiel der beteiligten Akteure zu schaffen und eine rechtssichere Ausgestaltung und Umsetzung einer Regulierung zu gewährleisten, sind zunächst trennscharfe Begriffsbestimmungen notwendig. Außerdem ist zu klären, wann und für welche Produkte der Data Act gelten soll. Da das geplante Gesetz die Breite der Wirtschaft betrifft, ist eine klare Ersichtlichkeit des Anwendungsbereich und eine eindeutige Zuordenbarkeit zu den beteiligten Akteuren von besonderer Bedeutung.

    1. Anwendungsbereich/Produktbegriff

    Nachgeschärft werden sollte zunächst am Anwendungsbereich der Verordnung. Sinnvoll ist es dabei, wie im vorliegenden Entwurf bereits vorgenommen, Geräte auszunehmen, die lediglich Inhalte anzeigen oder abspielen bzw. aufzeichnen und übertagen. Inkonsequent ist es jedoch, Smartphones und Tablets als solche Geräte zu verstehen und auszuschließen (vgl. Erwägungsgrund, nachfolgend ErwG 15). Diese und vergleichbare Geräte zeichnen sich gerade durch die Eigenschaft aus, Daten über ihre Umgebung zu erlangen und zu sammeln (vgl. ErwG 14), weshalb eine Bevorteilung gegenüber anderen vernetzen Produkten nicht verständlich ist. Die derzeit in ErwG 14 und ErwG 15 enthaltenen Positiv- und Negativbespiele sind grundsätzlich als Orientierungshilfe nützlich, in ihrer aktuellen Form allerdings nicht nachvollziehbar. Zweckmäßig könnte es sein, eine solche, nicht abschließende Liste als Hilfe für Unternehmen bei der Gestaltung von Dienstleistungen und Produkten in einem Annex zur Verordnung einzuführen und so auch deren Aktualität zu gewährleisten.

    2. Nutzerbegriff

    Der Data Act -E definiert einen Nutzer als „eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt“ (Art. 2 Abs. 5). Daraus ergeben sich insbesondere in Konstellationen mit mittelbaren Besitzverhältnissen und längeren Besitz- bzw. Wertschöpfungsketten (z. B. Komponentenhersteller – Zulieferer – Hersteller – Nutzer) Unklarheiten bei der Nutzeridentifizierung. So ist es denkbar, dass eine Vielzahl von Nutzern existiert, was nachfolgend zu großem Aufwand und erheblicher Rechtsunsicherheit führen kann.

    Es sollte daher präzisiert werden, in welchem Verhältnis die unterschiedlichen Nutzer stehen. Klar ist lediglich, dass seitens der Hersteller oder Entwickler entsprechende Strukturen geschaffen werden sollen, die den Zugang zu den Daten ermöglichen (vgl. ErwG 20). Unklar bleibt dabei, wie weit die Zugangsrechte jedes einzelnen Nutzers gehen sollen. Der Grundgedanke, der aus ErwG 18 hervorgeht, sieht vor, dass der Nutzer stets berechtigt sein sollte, den Nutzen aus allen Daten zu ziehen, die in dem von ihm genutzten Produkt oder der Dienstleistung entstehen.

    Um eine Konkretisierung zu erreichen, ist es wichtig herauszuarbeiten, inwieweit durch das Nutzerverhalten ein Mehrwert bzw. eine Wertschöpfung erreicht wird. Dies wird in der Regel immer dann der Fall sein, wenn dabei ein Verhalten erfasst wird, auf dessen Grundlage Folgeannahmen getroffen werden können. Daneben wird ebenso eine Wertschöpfung durch Aggregation, Auswertung und Verarbeitung der Daten erreicht. Die dahinterstehenden technischen Prozesse wiederum funktionieren immer wieder identisch, unabhängig vom Nutzer.

    3. Begriff des Dateninhabers

    Der Data Act -E definiert den Dateninhaber in Art. 2 Abs. 6 als eine juristische oder natürliche Person, die durch die Kontrolle über die technische Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist, bestimmte Daten bereitzustellen.

    Daten werden häufig in einer Cloud gespeichert, die von einem Dritten als Dienstleister betrieben wird. Unklar ist, inwieweit – bei technischer Möglichkeit – auch dieser Dritter zur Herausgabe verpflichtet sein soll. In dieser Rolle müsste der Dritte dann auch die Wahrung von Geschäftsgeheimnissen sicherstellen, wozu er unter Umständen mangels Kenntnis nicht in der Lage ist. Nützlich wäre insoweit eine Klarstellung, dass bei der Einbindung von Dritten die Datenherausgabe nur auf Anweisung des Herstellers erfolgen kann.

    4. Verhältnis Nutzer zu Dateninhaber

    Ausgehend von der Definition des Dateninhabers in Art. 2 Abs. 6 des Data Act -E ist unklar, was passiert, sobald ein Nutzer die Daten vom Dateninhaber bereitgestellt bekommen hat. Ab diesem Zeitpunkt hat der Nutzer auch die Kontrolle über die Daten. Es wäre insofern denkbar, dass er seinerseits zum Dateninhaber wird (Rückschluss aus ErwG 30 letzter Satz). Damit unterläge er seinerseits den Pflichten zur Bereitstellung von Daten im Rahmen dieser Verordnung. Der Nutzer, der Daten vom Dateninhaber erhalten hat, könnte folglich von weiteren Nutzern in Anspruch genommen werden auf Zugang zu Daten. Sollte dies der Fall sein, so ist fraglich, ob Weitergabebeschränkungen, die in einem vorgelagerten Dateninhaber – Nutzer – Verhältnis vereinbart wurden, der Herausgabe der Daten entgegengehalten werden können. Eine Klärung dieses Konflikts ist unbedingt notwendig, um die gezielten Rechtsmissbrauch und die Umgehung von Geschäftsgeheimnissen zu vermeiden.

    (mehr …)
  • DS-GVO – Datenschutz Checkliste für die Durchführung von Videokonferenzen

    DS-GVO – Datenschutz Checkliste für die Durchführung von Videokonferenzen

    DS-GVO – Datenschutz für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfiehlt die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen:

    Datenschutz Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen Für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfehlen wir Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen.

    Prüfen Sie Ihren Datenschutz,

    1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.

    2. ob es Ihnen mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen. Stellen Sie dabei sicher, dass die eingesetzte Software keine Daten über Ihre Beschäftigten oder deren Kommunikationspartner/-innen an den Hersteller für dessen Zwecke übermittelt.

    3. ob eine der Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau (https://ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/adequacy-decisions_en) Ihren Bedürfnissen entspricht. Der Deutsche Industrie- und Handelskammertag (DIHK) e. V. hat eine kurze Liste von Anbietern, die in Frage kommen könnten, erstellt, die über den DIHK angefordert werden kann.

    Die Vertragsgestaltungen der dort genannten Anbieter konnten wir bisher allerdings noch nicht überprüfen. Prüfen Sie des Weiteren, ob der Anbieter

     a) erwarten lässt, dass er die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergibt,

    b) ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und

    c) Ihnen die Verschlüsselung der Datenübertragung garantiert.

    Fällt die Prüfung positiv aus, dann

     d) schließen Sie einen ordnungsgemäßen Auftragsverarbeitungsvertrag mit dem Anbieter, und stellen Sie sicher, dass der Betreiber keine Angaben über Ihre Beschäftigten und deren Kommunikation oder über die Nutzung der Software für eigene Zwecke oder Zwecke Dritter verarbeitet sowie

    f) Unterauftragnehmer mit Verarbeitungsort, insbesondere Server-Standort, außerhalb der EU/des EWR für die Bereitstellung des Videokonferenzdiensts nur einsetzt, wenn der Datenexport die Anforderungen des Kapitels V der Datenschutz-Grundverordnung erfüllt. Bitte beachten Sie, dass der Beschluss der EU-Kommission zur Gleichwertigkeit des Datenschutzniveaus in den USA sich ausschließlich auf Organisationen erstreckt, die sich durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze des Privacy Shields verpflichtet haben.

    Die Zertifizierung muss sich auch auf Personaldaten (HR) erstrecken. Sie überprüfen dies durch Einsicht in die Liste des US-Handelsministeriums unter https://www.privacyshield.gov/list.

    4. Wenn Sie einen Anbieter mit Verarbeitungsort außerhalb von EU/EWR oder einem Land mit gleichwertigem Datenschutzniveau bzw. einen nicht im Rahmen des Privacy Shields für die Verarbeitung von Personaldaten zertifizierten Anbieter in den USA beauftragen wollen, dann erfüllen Sie die Bedingungen unter Ziff. 3. a) – c) und e) und schließen mit ihm zur Erfüllung der Bedingung in Ziff. 3. d) einen Vertrag gemäß den von der EU-Kommission genehmigten Standardvertragsklauseln (https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX%3A32010D0087). Eine Einschränkung der Wirkung dieser Klauseln durch anderweitige Vereinbarungen ist nicht zulässig.

    Dies gilt für jede Art von zusätzlichen Bedingungen und Einschränkungen für die Pflichten und Rechte aus den Standardvertragsklauseln. Die Erfüllung der Ziff. 3. a) bis 3. f) sowie ggf. Ziff. 4. bzw. im Fall von selbst betriebenen Lösungen Ziff. 2 Satz 2 ist in der Regel zwingende Voraussetzung für die Rechtmäßigkeit der Nutzung der jeweiligen Lösung.

    Die Berliner Beauftragte für Datenschutz und Informationsfreiheit weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22. Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications.

    Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Anforderungen entsprechen. Hinweis: Wir planen, für unserer Aufsicht unterliegende Verantwortliche in Kürze eine ausführlichere Übersicht mit detaillierteren Angaben zu verschiedenen gängigen Anbietern von Videokonferenz-Diensten zu erstellen.

    Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit

    https://now.digital/interim-manager-digitale-transformation/datenschutz-news/datenschutz-edsa-aktualisiert-leitlinien-zur-einwilligung-bei-internetseiten/