Eine Regulierung für Datentreuhänder

Executive Summary

Datentreuhänder sind ein vielversprechendes Konzept, um Datennutzung zu ermöglichen und dabei Datenschutz beizubehalten. Datentreuhänder können viele Ziele verfolgen, wie die stärkere Teilhabe von Verbraucher:innen oder anderen Datensubjekten, die effektivere Umsetzung von Datenschutz oder die Stärkung von Datenaustausch entlang der Wertschöpfungskette. Sie haben das Potenzial, ein Alternativmodell zu werden zu den großen Plattformen, denen vorgeworfen wird, Datenmacht anzusammeln und diese primär für die eigenen Zwecke zu nutzen statt im Interesse ihrer Nutzer:innen. Um diese Hoffnungen zu erfüllen, müssen Datentreuhänder vertrauenswürdig sein, damit ihre Nutzer:innen verstehen und vertrauen, dass Daten in ihrem Interesse verwendet werden.

Dass die Politik das Potenzial von Datentreuhändern erkannt hat, ist ein wichtiger Schritt. Darauf sollten Maßnahmen folgen, die spezifische Risiken in den Blick nehmen und so Vertrauen in die Dienste fördern. Derzeit besteht die politische Strategie darin, durch eine „one size fits all“-Regulierung alle Formen von Datentreuhändern den gleichen Regeln zu unterwerfen. Das zeigt sich beispielsweise durch den Data Governance Act (DGA), der Datentreuhändern wenig Spielraum lässt, um sich am Markt durchzusetzen.

Um die Entwicklung von Datentreuhandmodellen zu fördern, ist es sinnvoller, Datentreuhandmodelle breit zu fassen als alle Organisationen, die Daten im Interesse anderer verwalten und sich dabei an den rechtlichen Rahmen (unter anderem Wettbewerb, Geschäftsgeheimnisse und Datenschutz) halten. Welche zusätzlichen vertrauensbildenden Regeln nötig sind, sollte je nach Anwendungsfall entschieden werden. Dabei sollten sowohl das Risiko verschiedener Anwendungsfälle Berücksichtigung finden als auch die Notwendigkeit von Anreizen, um als Datentreuhand tätig zu werden.

Risikofaktoren können sektorübergreifend identifiziert werden; insbesondere die zentrale oder dezentrale Datenspeicherung und die freiwillige oder verpflichtende Nutzung der Datentreuhand gehören dazu. Nicht dazu gehört das Geschäftsmodell: Auch wenn viele Regulierungsvorhaben eine umfassende Neutralität fordern, gibt es verschiedene Datentreuhandansätze, die ohne strikte Neutralität in Bezug auf Monetarisierung oder vertikale Integration vertrauenswürdig erscheinen. Zugleich ist unklar, welche Anreize für die Entwicklung strikt neutraler Datentreuhandmodelle bestehen. Neutralitätsanforderungen, die über das nötige Maß hinausgehen, machen es somit weniger wahrscheinlich, dass sich die gewünschten alternativen Modelle entwickeln und durchsetzen.

Wie eine risiko- und anreizbasierte Regulierung aussehen kann, lässt sich anhand von vier Anwendungsfällen zeigen (medizinische Daten, PIMS, Produktpässe und Agrardaten). Sie unterscheiden sich darin, welche Ziele sie verfolgen, ob Daten personenbezogen sind, wie risikobehaftet das Datenteilen ist und in welchem Umfang Daten bereits geteilt werden.

Der erste Anwendungsfall sind medizinische Daten, die ein enormes Potenzial für die medizinische Forschung bergen, um neue und stärker personalisierte Formen der Diagnose und Therapie zu entwickeln. Gleichzeitig sind die Daten sehr sensibel und umfassen neben aktuellen Behandlungsdaten auch mögliche zukünftige Risikofaktoren. Somit bestehen Risiken unter anderem in Form von selbstzensierendem Verhalten, Diskriminierung und auch der Fehlbehandlung, wenn Daten nicht mit der nötigen Sorgfalt interpretiert werden.

Um medizinische Daten umfassender zu nutzen, sollte ein Erlaubnistatbestand für die Datenverarbeitung für medizinische Forschung durch wissenschaftliche und kommerzielle Organisationen geschaffen werden, wenn die Daten von einer Datentreuhand bereitgestellt werden. Damit die Risiken beherrschbar bleiben, ist es notwendig, dass die IT-Sicherheit durch eine staatliche beaufsichtigte Stelle zertifiziert wird. Weiterhin sollte der Datenzugang so gestaltet sein, dass nur die für die Forschung notwendigen Daten zugänglich sind und der Personenbezug zum Beispiel mit Pseudonymisierung möglichst entfernt wird. Auch sollten Organisationen ausgeschlossen werden, die in Bereichen tätig sind, von denen leicht Diskriminierung ausgehen kann, wie etwa Versicherungen und Werbung.

Der zweite Anwendungsfall sind Personal Information Management Systems (PIMS), die Verbraucher:innen dabei helfen sollen, effektiver ihre Rechte und Interessen in Bezug auf Daten über sie durchzusetzen. Doch bisher nutzen Verbraucher:innen die Dienste nur zögerlich und Unternehmen wie große Plattformen haben es leicht, PIMS zu umgehen. Zugleich besteht im direkten Umgang mit Verbraucher:innen das Risiko von Missbrauch ( z.B. durch irreführende Informationen und Menüführung).

Um die Risiken zu kontrollieren und gleichzeitig PIMS stärker zu ermöglichen, schlagen wir vor, Muster-Allgemeinen Geschäftsbedingungen (AGBs) für PIMS als Grundlage für eine Zertifizierung zu machen, die sie als vertrauenswürdig kennzeichnet. Diese AGBs sollten unter anderem Mindeststandards für IT-Sicherheit enthalten und eine explizite Einwilligung für die Monetarisierung personenbezogener Daten vorsehen. Weiterhin sollte es Transparenzvorgaben geben, die die monetäre und nicht-monetäre Übermittlung von Daten sichtbar machen. Auch Restriktionen für die Datennutzung der verbundenen Dienste sollten Teil der AGB sein, sodass sie unter gleichen Bedingungen stattfindet wie zu externen Diensten. Insgesamt sollte hier das Augenmerk darauf liegen, die PIMS an die Interessen der Nutzer:innen zu binden. Auf dieser Grundlage können dann Unternehmen wie Social-Media-Plattformen dazu verpflichtet werden, mit zertifizierten PIMS zusammenzuarbeiten. Unter diesen Voraussetzungen ist es sinnvoll, dass PIMS Verbraucher:innen umfassender vertreten, also zum Beispiel die Erklärung und den Widerruf von Einwilligungen im Namen ihrer Nutzer:innen managen, wie es etwa für „authorized agents“ unter dem Californian Consumer Protection Act (CCPA) der Fall ist.

Der dritte Anwendungsfall sind Produktpässe, die es ermöglichen, Produkte und Produkteigenschaften über die Wertschöpfungskette hinweg nachzuverfolgen. Sie haben enormes Potenzial für die Förderung einer Kreislaufwirtschaft. Verschiedene Initiativen fördern die datenbasierte Wieder- und Weiterverwendung von Ressourcen, jedoch scheitern sie oft noch an hohem administrativem und finanziellem Aufwand und begrenzter Managementrelevanz.

Es ist nicht offensichtlich, dass es einer restriktiven Regulierung für Datentreuhänder bedürfte, die Produktpässe anbieten wollen. Stattdessen ist es eher vielversprechend, rechtliche Klarheit über das Datenteilen zwischen Unternehmen zu schaffen und staatliche Nachfrage strategisch zu nutzen, um bei der staatlichen Beschaffung die Nutzung von Produktpässen zu fördern.

Der vierte Anwendungsfall sind Agrardaten, die dabei helfen können, nicht nur landwirtschaftliche Erträge zu erhöhen, sondern auch Ressourcen gezielter einzusetzen. Sie werden zunehmend erhoben und genutzt, wobei ein wesentliches Hemmnis aktuell noch im teils zurückhaltenden Interesse an einer Digitalisierung von landwirtschaftlichen Betrieben besteht.

Eine regulatorische Einschränkung von Agrardatentreuhändern erscheint nicht geboten. Stattdessen können mehr Anreize gesetzt werden, zum Beispiel durch die verstärkte Bereitstellung staatlicher Daten für die Nutzung im Agrarbereich.

Sektorübergreifende Handlungsempfehlungen

Eine Regulierung von Datentreuhändern sollte bestehende Rechtsunsicherheit und Komplexität auf keinen Fall erhöhen, sondern senken. Dies ist nötig, um einen Anreiz für die Entwicklung neuer Modelle zu schaffen. Vertrauensstiftende Maßnahmen, die Risiken verringern, begründen auch das Absenken von Hürden. Übermäßig restriktive Neutralitätsanforderungen führen zwangsläufig dazu, dass Datentreuhänder nur vom Staat selbst bereitgestellt werden können, was andere potenzielle Probleme mit sich bringt. Stattdessen ist es zielführender, in den gesetzlichen Bestimmungen konkreten Interessenskonflikten vorzubeugen.

Zertifizierung kann sichtbar machen, ob konkret definierte Anforderungen erfüllt werden, insbesondere dann, wenn das Risiko einer zu restriktiven Regulierung hoch ist und etwa Informationsasymmetrien eine Intervention erforderlich machen. Eine weitere pragmatische Möglichkeit, Datentreuhandmodelle zu fördern, ist die Nutzung von Pilotprojekten und der strategische Einsatz staatlicher Nachfrage. Allerdings ersetzt dies nicht die Entwicklung neuer Modelle, insbesondere Geschäftsmodelle.

Ob Datentreuhänder die großen Hoffnungen erfüllen können, die auf sie gesetzt werden, hängt maßgeblich davon ab, wie der für sie geltende Rechtsrahmen gestaltet ist. Insgesamt sollten Regulierungsvorhaben für Datentreuhänder darauf abzielen, Datennutzung und Datenschutz besser vereinbar zu machen. Dafür ist es hilfreich, auf konkrete Risiken zu fokussieren, die durch den bestehenden Rechtsrahmen nicht abgedeckt sind; gleichzeitig aber auch Hürden abzubauen, die diesem Ziel im Wege stehen.