Vor einiger Zeit berichteten wir über We-Vibe, ein Sex Toy des Herstellers QIUI. Dabei ging es vor allem um Sicherheitsdefizite.
Solche Geräte, die Daten sammeln und mit dem Internet vernetzt sind, sind Gegenstand des geplanten EU Data Acts, dessen Entwurf die EU-Kommission im Februar vorlegte.
Der EU Data Act soll für Verbraucher und Unternehmen regeln, wer zu welchen Bedingungen auf Daten, die über vernetzte Geräte generiert werden, zugreifen und diese nutzen darf.
Meine Daten darf ich überall hin mitnehmen
Für Verbraucher ist dies vor allem bei sogenannten Wearables sichtbar. Über Fitnesstracker oder andere Spielereien werden eine Unmenge an Daten teilweise über Jahre generiert. Schaut man sich zum Beispiel eine Fitnessarmbanduhr an, die längere Zeit getragen wird und deren Daten vom Anbieter gehostet und in einer App aufbereitet werden, können Daten über Fitnessaktivitäten (wo, wie lange, wie schnell gelaufen geschwommen, Rad gefahren, Golf gespielt etc.), aber auch über Gewichtsverläufe, Kalorienverbrauch, Herzfrequenz oder Flüssigkeitsaufnahme gesammelt und miteinander in Beziehung gesetzt werden. Der Wert solcher Daten für Krankenversicherungen, Sportartikelhersteller oder Anbieter von Diätprogrammen liegt auf der Hand.
Außerdem will die EU-Kommission die Marktbeherrschung einiger weniger Konzerne wie Apple, Alphabet, Meta oder Amazon regulieren und den Wechsel zwischen Cloud-Anbietern erleichtern. Bisher, so die EU-Kommission hätten Hersteller bzw. Entwickler der vernetzten Geräte die ausschließliche Kontrolle über die Nutzung von Daten. Dies führe zu Lock-in-Effekten, also dazu, dass eine enge Kundenbindung dadurch generiert wird, dass der Wechsel zu anderen Anbietern erschwert wird. Um diesen Lock-in-Effekten vorzubeugen, soll die Vertragsfreiheit beschnitten werden, um eben auch anderen Unternehmen Zugang und Nutzung zu generierten Daten zu ermöglichen.
So soll das Recht, rechtmäßig erworbenes Eigentum zu nutzen und darüber zu verfügen, durch ein Recht auf Zugang zu Daten, die durch Nutzung eines vernetzten Gegenstandes erzeugt werden, ergänzt werden.
Zentral wird dies in Artikel 3 und 4 des Entwurfs geregelt. Hersteller und Erbringer von Dienstleistungen werden in Art. 3 verpflichtet, Geräte, die Daten über seine Verwendung oder Nutzung erhält, erzeugt oder sammelt, so zu konzipieren und herzustellen, dass sie dem Nutzer leicht, idealerweise direkt, zugänglich sind. Darüber hinaus muss vor Vertragsschluss über die Art und Umfang der Daten, die anfallen, die Art der Datenerzeugung, den Weg des Zugriffs, den Zweck der Datenverwendung bzw. die Überlassung an Dritte, den Dateninhaber, die Beantragung der Datenweitergabe und Kontakt- und Beschwerdemöglichkeiten informiert werden.
Artikel 4 regelt das Recht des Nutzers auf Zugang und Verwendung von Daten, die durch die Nutzung der Geräte entstehen. Dabei wird auch der Spielraum des Nutzers für die Verwendung der Daten abgesteckt. So darf er zum Beispiel die Daten nicht verwenden, um Konkurrenzgeräte zu entwickeln. Soweit der Nutzer keine betroffene Person ist, wird klargestellt, dass personenbezogene Daten nur im Einklang mit einer Rechtsgrundlage aus der DSGVO herausgegeben werden dürfen.
Das Recht auf Weitergabe der Daten, ähnlich wie die DSGVO es für personenbezogene Daten regelt, findet sich in Art. 5 des Entwurfs, damit der Wechsel zwischen den Cloud-Anbietern erleichtert wird. Konkretisiert wird die Erleichterung des Wechsels in Art. 24 des Entwurfs, der eine maximale Kündigungsfrist von 30 Tagen vorsieht.
Fazit
Aus datenschutzrechtlicher Sicht ist der Entwurf als Ergänzung der Rechte zu sehen, wie sie in der DSGVO niedergelegt sind. Es bleibt aber abzuwarten was von dem Entwurf am Ende bleibt, wenn EU-Parlament und Ministerrat sich damit befasst haben. Es wird sicher noch zu Verschärfungen oder Verwässerungen des Entwurfs kommen, bis endgültig etwas über Rechte und Pflichten gesagt werden kann.