POSITION | DIGITALISIERUNG | DATENWIRTSCHAFT
Datenstrategie der Bundesregierung BDI-Position zur Datenstrategie der Bundesregierung vom 27. Januar 2021
28. April 2021 Vorbemerkung Der BDI begrüßt, dass die Bundesregierung mit ihrer Datenstrategie einen kohärenten Weg zu einer verstärkten Datennutzung beschreitet. Eine solche Strategie ist überfällig und muss zügig in die Praxis umgesetzt werden, um das enorme Wertschöpfungspotential aus datengetriebenen Geschäftsmodellen besser nutzen zu können und Deutschland zu einem Vorreiter im Bereich der Datennutzung zu transformieren. Wie groß gerade bei kleinen und mittleren Unternehmen (KMU) der Nachholbedarf bei der Aufbereitung, Nutzung und dem Austausch von Daten ist, wurde in einer jüngst vom BDI beauftragten Studie deutlich: Im Rahmen einer repräsentativen Unternehmensbefragung konnten nur 28 % der befragten Unternehmen insgesamt als „digital“ hinsichtlich des eigenen Datenmanagements eingestuft werden.1 Damit Deutschland die in der Datenwirtschaft liegenden Potenziale wirklich ausschöpfen kann, ist ein Umdenken beim Umgang mit Daten notwendig. Viel zu häufig nehmen Unternehmen derzeit allein aufgrund großer Rechtsunsicherheiten von den Möglichkeiten einer verstärkten Datennutzung und eines Datenaustauschs Abstand. Dies gilt insbesondere für kleine und mittlere Unternehmen, die nicht ohne Weiteres auf die mitunter notwendige juristische Expertise zurückgreifen können. Der BDI unterstützt ausdrücklich die Zielsetzung der Datenstrategie, die gesellschaftlichen und wirtschaftlichen Chancen einer verstärkten Datennutzung stärker in den Blick zu nehmen bei gleichzeitiger Wahrung des grundrechtlich verankerten Rechts auf informationelle Selbstbestimmung. Um den Gleichklang aus Datenökonomie und Datenautonomie zu gewährleisten, müssen zügig technische Datenschutzlösungen, wie sie in der Datenstrategie insbesondere im Bereich von Pseudonymisierung und Anonymisierung angesprochen werden, oberste Priorität haben. Schließlich liegt in der unklaren Abgrenzung des Anwendungsbereichs der DSGVO ein zentrales Hemmnis für eine effiziente Datenwirtschaft. Zugleich sollte der bestehenden Ungewissheit einer kartellrechtlichen Zulässigkeit von Datenkooperationen mit Wettbewerbern weiter legislativ entgegengetreten werden. Der BDI begrüßt die in der
1
„Datenwirtschaft in Deutschland – Wo stehen die Unternehmen in der Datennutzung und was sind ihre größten Hemmnisse?“, IW-Studie im Auftrag des BDI, Februar 2021, abrufbar unter https://bdi.eu/media/publikationen/?publicationtype=Studien#/publikation/news/datenwirtschaft-in-deutschland/.
Dr. Michael Dose | Digitalisierung und Innovation | T: +49 30 2028-1560 | m.dose@bdi.eu | www.bdi.eu
Datenstrategie der Bundesregierung
Datenstrategie und auf europäischer Ebene vorgeschlagene Implementierung von Datenintermediären. Ein sektorspezifischer Einsatz von Datentreuhändern kann einen maßgeblichen Beitrag dazu leisten, fehlendes Vertrauen oder anderweitige Hürden beim Datenaustausch zwischen unterschiedlichen Marktakteuren zu beheben. Allerdings ist der Einsatz von Datentreuhändern nur eine von mehreren Möglichkeiten, den Austausch von Daten zu organisieren. Es sollte daher keine Verpflichtung bestehen, Daten ausschließlich über Datentreuhänder auszutauschen. Daneben ist der Aufbau von vertrauenswürdigen Datenökosystemen auf Basis europäischer Werte, die einen sektorübergreifenden Austausch von Daten auf der Grundlage gemeinsamer Standards ermöglichen, von großer Bedeutung. Die enge Verknüpfung des europäischen Cloud-Vorhabens GAIA-X mit den geplanten nationalen und europäischen Datenräumen bieten große Chancen für die gesamte Breite der deutschen Industrie, in einem technisch und rechtlich sicheren Umfeld an den Wertschöpfungspotenzialen der Datenökonomie partizipieren zu können. Um die Wettbewerbsfähigkeit der Unternehmen bei der Entwicklung datengetriebener Geschäftsmodelle langfristig zu sichern, ist es zudem erforderlich, Deutschland und Europa zu einem führenden Standort für Hochleistungsrechnen (HPC) und Quantencomputing zu entwickeln. Die anhaltende Corona-Pandemie hat sehr deutlich vor Augen geführt, welche Vorteile in einer verstärkten Nutzung der vorhandenen Datensätze für Wirtschaft und Gesellschaft gleichermaßen liegen. Gerade im Bereich der Impfstoffe hat nicht zuletzt die industrielle Gesundheitswirtschaft in Deutschland einen wesentlichen Beitrag zur Pandemiebekämpfung geleistet. Um auch in Zukunft den Forschungsstandort Deutschland zu stärken, muss neben öffentlichen Forschungseinrichtungen auch der industriellen Gesundheitswirtschaft ein gleichberechtigter Zugang zu Gesundheitsdaten – etwa zum geplanten Forschungsdatenzentrum – gewährt werden. Fortschritte in der Gesundheitsversorgung und -qualität für die Breite der Bevölkerung können nur in einem ebenso breiten Ansatz beim Zugang zu forschungsrelevanten Daten für die forschende Industrie ermöglicht werden. Eine wesentliche Signalwirkung beim Umgang und der Verfügbarkeit von Daten geht vom Staat selbst aus. Die Implementierung einer kohärenten und praktikablen Open-Data-Kultur sollte mit der Umsetzung der Datenstrategie entschieden vorangetrieben werden. Die flächendeckende Bereitstellung von Open-Government-Data über offene Datenportale in standardisierter maschinenlesbarer Form kann gerade für kleine und mittlere Unternehmen eine große Signalwirkung entfalten. Die Voraussetzung dafür ist eine funktionierende digitale Verwaltung und ein Ende der analogen Zettelwirtschaft in deutschen Amtsstuben.
2
Datenstrategie der Bundesregierung
Inhaltsverzeichnis Vorbemerkung ........................................................................................................................... 1 Zu I. Das Fundament: Dateninfrastrukturen leistungsfähig und nachhaltig ausgestalten ......... 4 1.1 Vernetzung und Ausbau von Dateninfrastrukturen.................................................................... 4 1.2 Hochleistungsrechnen, Quantencomputing und Speichermedien .............................................. 5 Zu II. Innovative und verantwortungsvolle Datennutzung steigern............................................ 7 2.1 Regulierung: Verbesserung der Rahmenbedingungen .............................................................. 7 2.1.1 Rahmenbedingungen bei personenbezogenen Daten .................................................... 7 2.1.2 Rahmenbedingungen bei nicht-personenbezogenen Daten .......................................... 11 2.1.3 Stärkung der Daten- und IT-Sicherheit ........................................................................ 12 2.2 Schaffung neuer Datenräume ............................................................................................... 15 Datenraum Gesundheit....................................................................................................... 16 Datenraum Mobilität ........................................................................................................... 18 2.3 Datentreuhänder und neue Kooperationsformen .................................................................... 19 2.4 Risiken bekämpfen: Stärkung der Interessen der Bürgerinnen und Bürger in der Datenökonomie ................................................................................................................................................ 20 Zu IV. Den Staat zum Vorreiter machen ................................................................................... 21 4.1 Mit E-Government Voraussetzungen schaffen ....................................................................... 21 4.2 Nachhaltige Verbesserung der Dateninfrastruktur in den Verwaltungen ................................... 21 4.3 Öffentlich finanzierte Datensätze und Open Government Data ................................................ 22 Impressum............................................................................................................................... 23
3
Datenstrategie der Bundesregierung
Zu I. Das Fundament: Dateninfrastrukturen leistungsfähig und nachhaltig ausgestalten 1.1 Vernetzung und Ausbau von Dateninfrastrukturen Um die Potenziale der Datenökonomie vollständig ausschöpfen zu können, sind die Unternehmen in Deutschland auf vertrauenswürdige und interoperable Dateninfrastrukturen angewiesen. Vor diesem Hintergrund unterstützt der BDI das europäische Cloud-Projekt GAIA-X, das in der Datenstrategie der Bundesregierung zurecht als eine der wichtigsten Maßnahmen in diesem Bereich aufgeführt wird. Zu den zentralen Herausforderungen der kommenden Monate zählt die vollständige Europäisierung des Projekts. Um zudem eine internationale Anschlussfähigkeit von GAIA-X sicherzustellen, sollten alle europäischen und internationalen Marktteilnehmer, die die definierten technischen und regulatorischen Kriterien (z.B. in Bezug auf den Datenschutz) für eine Teilnahme an GAIA-X erfüllen, ihre Dienste über das Datenökosystem bereitstellen dürfen. Von entscheidender Bedeutung ist darüber hinaus eine größtmögliche Kohärenz zwischen GAIA-X und den in der Europäischen Datenstrategie angekündigten Cloud-Maßnahmen, um ineffiziente Parallelprozesse zu vermeiden. Gleiches gilt in Bezug auf Initiativen in den einzelnen Mitgliedsstaaten der Europäischen Union, die ebenfalls in e ine kohärente Gesamtarchitektur eingefügt werden müssen. Hierfür sollte sich die Bundesregierung aktiv einsetzen. Erfolgskritisch für GAIA-X ist zudem die schnellstmögliche Bereitstellung marktreifer Anwendungen, um die Vorzüge und Mehrwerte der Dateninfrastruktur für potenzielle Nutzer erfahrbar zu machen. Dazu zählt auch die Umsetzung des Prinzips der Datenportabilität, das Lock-In-Effekte verhindert und auf diese Weise einen wesentlichen Beitrag dazu leistet, Verbraucherinnen und Verbrauchern sowie Unternehmen den Wechsel zwischen Cloud-Anbietern zu erleichtern. Die gezielte Förderung vorwettbewerblicher Projekte zur Ausarbeitung konkreter Anwendungsfälle – so wie durch den angekündigten GAIA-X-Förderwettbewerb vorgesehen – stellt ein wichtiges Instrument dar, um eine zügige Bereitstellung marktreifer Anwendungen zu realisieren. Darüber hinaus muss das hohe Nachfragepotenzial des öffentlichen Sektors genutzt werden, damit GAIA-X möglichst schnell eine erfolgskritische Größe erreichen kann. Um möglichst bedarfsgerechte Angebote bereitstellen zu können, muss die Anwenderseite zudem umfassend in die Projektarbeiten mit einbezogen werden. Ein besonderer Fokus muss dabei auch auf die Zielgruppe der kleinen und mittelständischen Unternehmen (KMU) gelegt werden, da GAIA-X im Mittelstand über ein hohes Marktpotenzial verfügt. Die Ausschöpfung dieses Marktpotenzials muss zukünftig bei allen Aktivitäten rund um GAIA-X noch stärker im Fokus stehen. Zudem müssen spezifische Informationsangebote für KMU bereitgestellt werden, damit diese wichtige Zielgruppe bestmöglich abgeholt wird. Ausdrücklich zu begrüßen ist in diesem Zusammenhang der Aufbau nationaler GAIA-X-Hubs, mit denen die verschiedenen Anwendergruppen und -domänen dauerhaft an das Projekt angebunden werden. In den verschiedenen Domänen, u.a. in den Bereichen Gesundheit, Industrie 4.0 und Mobilität, werden vielversprechende Anwendungsbeispiele mit einem hohen Nutzenpotenzial für die verschiedenen Branchen erarbeitet. Neben den angesprochenen Domänen spielt GAIA-X auch in weiteren Branchen eine wichtige Rolle, bspw. in der Planungs- und Bauwirtschaft im Kontext des sicherheitsrelevanten Bereichs des Building Information Modelling. Damit die Anwenderanforderungen bestmöglich in die Entwicklung der technischen Grundlagen für GAIA-X mit einfließen können, bedarf es einer engen Abstimmung zwischen den nationalen Hubs und der GAIA-X-Association. An diesen Schnittstellen muss den Verbänden eine Schlüsselfunktion zukommen, da diese als wichtige Multiplikatoren in ihre jeweiligen Domänen fungieren.
4
Datenstrategie der Bundesregierung
Gerade auch beim Zugang zu Forschungsdaten ist die Offenheit von Innovationssystemen ein wichtiger Hebel zur Stärkung der Wettbewerbsfähigkeit, da sie den zur Verfügung stehenden Wissensstock erhöht und die Teilnehmer des Wissenschafts- und Innovationssystems zu höheren Leistungen anreizt. Eine enge Verzahnung von der Nationalen Forschungsdateninfrastruktur (NFDI) und der European Open Science Cloud (EOSC) kann eine wichtige Rolle erfüllen, interdisziplinär Zugang zu Methoden und Ergebnissen aktueller Forschungsarbeiten zu ermöglichen und diese zum Nutzen unterschiedlichster Fragestellungen zu erschließen. Die mit einem vergleichsweise geringen Fördervolumen ausgestattete NFDI kann dabei nicht den Aufbau dezidierter domänenspezifischer Forschungsinfrastrukturen ersetzen, sondern sollte sich auf die Beseitigung von Interoperabilitätshemmnissen und unterschiedlicher Rechtsrahmen domänenübergreifender Handlungsfelder konzentrieren. Das Ziel, dabei auf eine vertrauenswürdige und offene, dezentrale Datenumgebung und damit verbundene Dienste zu achten, muss einhergehen mit entsprechenden Schnittstellen, um den EOSC gerade für die europäischen Akteure in Wissenschaft und Wirtschaft zum Nutzen von Innovationen möglichst barrierefrei zugänglich zu machen (analog beispielsweise BBMRI-ERIC). Dabei muss allerdings der Schutz von geistigem Eigentum (IP) und vertraulichen Geschäftsinformationen (CBI) – insbesondere bei öffentlich-privaten- Partnerschaften und Forschungsprojekten mit Industriebeteiligung – zwingend gewährleistet sein. Der Fokus des BMBF-Aktionsplans „Forschungsdaten“ mit dem Fokus auf neue Möglichkeiten der Kollaboration zwischen wissenschaftlichen Institutionen und der privaten Forschung ist ausdrücklich zu begrüßen. Wünschenswert wäre, die Ergebnisse der Ideenwettbewerbe und Pilotstudien bereits vor deren Übersetzung in die angekündigten gesetzgeberischen Maßnahmen mit den Verbänden forschungsintensiver bzw. datengetriebener Branchen sowie Patient/Innenvertreter/Innen zu diskutieren und gemeinsam zu priorisieren.
1.2 Hochleistungsrechnen, Quantencomputing und Speichermedien Wissenschaftlicher Fortschritt und erfolgreiche neue Geschäftsmodelle basieren in immer größerem Maße auf der Auswertung riesiger Datenmengen. Eine führende Stellung in den Bereichen Hochleistungsrechnen (HPC) und Quantencomputing ist vor diesem Hintergrund eine wesentliche Voraussetzung zur langfristigen Sicherung der Wettbewerbsfähigkeit von Unternehmen. Das von der Bundesregierung in der Datenstrategie angekündigte neue Programm zum High Performance Computing sollte zügig umgesetzt werden. Wichtig sind zudem eine weitere Stärkung und Förderung europäischer Supercomputing-Kooperationen. Im Bereich des Quantencomputings sind Deutschland und Europa in der Grundlagenforschung gut aufgestellt. Diese vielversprechende Ausgangssituation gilt es zu nutzen. In den kommenden Jahren kommt es entscheidend darauf an, die Forschungsergebnisse zügig in die industrielle Anwendungspraxis zu überführen. Das Rahmenprogramm der Bundesregierung, das Ziele und Maßnahmen zur Förderung von Quantentechnologien bis zum Jahr 2022 beschreibt, legt einen besonderen Fokus auf den Praxistransfer, was ausdrücklich begrüßt wird. Sowohl bei der weiteren Umsetzung des Rahmenprogramms als auch der weiteren Verwendung der im Konjunktur- und Zukunftspaket der Bunderegierung für den Bereich der Quantentechnologien vorgesehen Fördermittel sollten die Empfehlungen der im Januar 2021 veröffentlichten „Roadmap Quantencomputing“ berücksichtigt werden, die von einem Expertenrat unter Mitwirkung von Vertretern aus Wissenschaft und Wirtschaft erarbeitet wurden. Die Umsetzung muss schnellstmöglich und auf Basis einer ressortabgestimmten Strategie erfolgen. Die einzelnen Maßnahmen und Förderprogramme müssen so ausgestaltet sein, dass diese auch für KMU leicht zugänglich sind, eine hohe Flexibilität in Bezug auf Förderquoten und
5
Datenstrategie der Bundesregierung
-bestimmungen aufweisen und die Entstehung leistungsfähiger Ökosysteme in Deutschland und Europa befördern. Um im internationalen Wettbewerb mithalten und eine hohe Skalierbarkeit europäischer Lösungen realisieren zu können, ist es zudem geboten, die Ressourcen der einzelnen EU-Mitgliedstaaten zu bündeln.
6
Datenstrategie der Bundesregierung
Zu II. Innovative und verantwortungsvolle Datennutzung steigern 2.1 Regulierung: Verbesserung der Rahmenbedingungen Die Bundesregierung weist berechtigter Weise darauf hin, dass beim Umgang mit nicht-personenbezogenen Daten das erhebliche Wertschöpfungspotential nicht ausgeschöpft wird. Auch die vom BDI beauftragte Studie belegt, dass vielen Unternehmen noch das Bewusstsein für den wirtschaftlichen Nutzen einer verstärkten Datennutzung fehlt. So geben 23 % der befragten Unternehmen an, im Rahmen eines strategischen Prozesses regelmäßig nach neuen Datenquellen und Einsatzmöglichkeiten zu suchen. 45 % der Unternehmen nutzen gar keine Daten zur Optimierung von Produkten oder Geschäftsmodellen. Spiegelbildlich sind nur 12 % der befragten Unternehmen bereit, eigene Daten mit Dritten zu teilen. Es ist daher richtig und wichtig, dass in der Datenstrategie einige Fördermaßnahmen vorgesehen sind, um insbesondere KMU zu einer Teilhabe an der Datenwirtschaft ermutigen und befähigen zu können. Exemplarisch ist auf das Förderungsprogramm „Go Data“ in Abschnitt 3.3 der Datenstrategie zu verweisen. Von mindestens ebenso großer Bedeutung ist jedoch eine umfassende Evaluation des bestehenden Rechtsrahmens dahingehend, an welchen Stellen die in einer verstärkten Datennutzung liegenden Chancen durch rechtliche Unsicherheiten in der Praxis nicht ergriffen werden. 2.1.1 Rahmenbedingungen bei personenbezogenen Daten In der heutigen Informationsgesellschaft ist die sichere und effiziente Verarbeitung personenbezogener Daten für die gesamte Industrie von zentraler Bedeutung. Ein einheitliches Datenschutzrecht, das gleichermaßen Vertrauen fördert und Innovationen ermöglicht, ist hierfür essenziell. Die von der Bundesregierung beabsichtigte Reduzierung von Komplexität und die Verbesserung der Rahmenbedingungen bei der Verarbeitung personenbezogener Daten sind positive und notwendige Schritte, um das erklärte Ziel einer gesteigerten innovativen und verantwortungsvollen Datennutzung zu erreichen. Nach einer vom BDI in Auftrag gegebenen Studie zur aktuellen Situation der Datenwirtschaft in Deutschland bezeichnen 85 % der befragten Unternehmen „datenschutzrechtliche Grauzonen“ generell als Hemmnis für die wirtschaftliche Nutzung von Daten. 2 Jedoch sollten die beabsichtigten Maßnahmen nach Ansicht der deutschen Industrie nicht auf das deutsche Datenschutzrecht und untergesetzliche Lösungsansätze beschränkt bleiben. Perspektivisch in den Blick zu nehmen sind vielmehr auch mögliche Entwicklungs- und Erleichterungspotenziale direkt in der Datenschutzgrundverordnung (DSGVO), etwa bei den Verarbeitungsgrundsätzen, den Erlaubnistatbeständen oder den Transparenzpflichten, die sich ebenfalls innovationsfördernd auswirken würden und nicht zufriedenstellend auf nationaler Ebene adressiert werden können.
2
IW-Studie im Auftrag des BDI, a.a.O.
7
Datenstrategie der Bundesregierung
Anonymisierung und technischer Datenschutz Eine verstärkte innovative und zugleich verantwortungsvolle Datennutzung erfordert einheitliche und rechtssichere Standards für eine wirksame Anonymisierung personenbezogener Daten. Die rechtssichere Anonymisierung personenbezogener Daten ist eine Kernvoraussetzung für branchenübergreifende, datengetriebene Geschäftsmodelle und für die Verfügbarkeit qualitativ hochwertiger Daten. Zugleich werden hierdurch ein hohes Datenschutzniveau und das Vertrauen der Betroffenen gewährleistet. In der Praxis stehen die Unternehmen jedoch vor der Herausforderung, dass weder klare rechtliche Vorgaben noch technische Standards für eine De-Personalisierung von Daten existieren, was eine Vielzahl als Hürde für die wirtschaftliche Datennutzung identifiziert 3. ▪
Der BDI begrüßt daher ausdrücklich den Plan der Bundesregierung, den technischen Datenschutz durch die Gründung eines technischen Forschungsnetzwerks zur Anonymisierung zu fördern und die Entwicklung von Anonymisierungsverfahren und -methoden zu unterstützen. Dies sollte unter breiter Stakeholderbeteiligung erfolgen und auch die Erforschung notwendiger Voraussetzungen bzw. Anreize für einen unternehmensübergreifenden Austausch anonymisierter Daten berücksichtigen.
▪
Zusätzlich zur Forschung an technischen Lösungen für eine Anonymisierung sollten auch die datenschutzrechtlichen Vorgaben für die Anonymisierung personenbezogener Daten präzisiert werden. Sowohl auf europäischer als auch auf nationaler Ebene existieren keine klaren Begriffsbestimmungen für eine Anonymisierung. Ebenso wie der BDI in seinem Praxisleitfaden zur Anonymisierung personenbezogener Daten4, legt auch die Bundesregierung ihren Ausführungen in der nationalen Datenstrategie einen relativen Anonymisierungsbegriff zugrunde. Dieses Begriffsverständnis sollte auch explizit normiert werden. Ebenso sollten Präzisierungen zur rechtlichen Qualifikation einer Anonymisierung und deren Anforderungen unter Ergänzung gesetzlicher Vermutungstatbestände für eine rechtswirksame Anonymisierung erfolgen, um hier ein größeres Maß an Rechtssicherheit zu schaffen. Das erklärte Ziel der Maßnahmen auf dem Gebiet der Anonymisierung sollte die Entwicklung, Förderung und Anwendung einheitlicher Definitionen, Methoden und Standards für eine rechtssichere Anonymisierung sein.
▪
Um jedoch dem EU-weiten Harmonisierungsansatz der DSGVO in der Praxis zur Geltung zu verhelfen, dürfen die Bestrebungen der Bundesregierung nicht auf die nationale Ebene beschränkt bleiben. Vielmehr gilt es, auf Basis einer abgestimmten nationalen Position zur Anonymisierung personenbezogener Daten, einheitliche Vorgaben auf der europäischen Ebene zu entwickeln. Zu einem EU-weit einheitlichen Rechtsrahmen kann insbesondere auch die Förderung der Erarbeitung von Verhaltensregeln (Codes of Conduct) gem. Artikel 40 DSGVO beitragen. Die Datenstrategie lässt hierzu Ausführungen vermissen und sollte entsprechend ergänzt werden.
3
73 % der befragten Unternehmen bezeichnen Rechtsun sicherheit bei Datenanonymisierung als Hemmnis für wirtschaftliche Datennutzung, IW-Studie im Auftrag des BDI, a.a.O. 4 BDI-Leitfaden „Anonymisierung personenbezogener Daten“, abrufbar unter https://bdi.eu/media/publikationen/?publicationtype=Themenpapiere#/publikation/news/anonymisierung-personenbezogener-daten/.
8
Datenstrategie der Bundesregierung
▪
Die geplante Prüfung der Errichtung eines Netzwerks aus Prüf- und Zertifizierungslaboren sieht der BDI kritisch. Es existieren bereits etablierte Prüf- und Zertifizierungsverfahren im Bereich des Datenschutzes und der IT-Sicherheit. Keinesfalls dürfen damit über die gesetzlichen Regelungen hinausgehend neue Standards, Verpflichtungen oder Instanzen geschaffen werden.
Mehr Rechtssicherheit durch einheitliche Rechtsauslegung und -anwendung Die DSGVO und darauf basierend auch das nationale Datenschutzrecht bergen auch nach knapp drei Jahren Anwendungspraxis immer noch große Rechtsunsicherheiten für die Unternehmen, die häufig auf unterschiedliche Auslegungen und Anwendungen der Vorschriften seitens der Aufsichtsbehörden zurückzuführen sind. Bereits innerhalb Deutschlands führen die divergierende Interpretation und Anwendung der Datenschutzregeln seitens der Landesdatenschutzbehörden zu Standortnachteilen und erhöhtem bürokratischen Aufwand, der insbesondere von kleinen und mittleren Unternehmen (KMU) kaum leistbar ist. Auf europäischer Ebene setzt sich diese rechtliche Fragmentierung fort. Vor diesem Hintergrund setzt sich der BDI für eine stärkere Vereinheitlichung der Auslegung und Durchsetzung der Datenschutzregeln sowohl auf nationaler als auch auf EU-Ebene ein. Eine enge Zusammenarbeit der Datenschutzbehörden des Bundes und der Bundesländer, wie von der Bundesregierung angestrebt, wird daher von der deutschen Industrie ausdrücklich unterstützt. Diese sollte sich jedoch nicht nur auf Datenschutzfragen von bundesweiter Bedeutung beschränken, sondern auch bei überregionalen Datenschutzbelangen zwischen den Aufsichtsbehörden der betroffenen Bundesländer erfolgen. Zudem sollte der Fokus der Aufsichtsbehörden verstärkt auf die Beratung der Unternehmen gelegt werden, um diese bei der rechtssicheren Umsetzung der rechtlichen Vorgaben aktiv zu unterstützen. Die von der Bundesregierung beabsichtigte Förderung eines einheitlichen Datenschutzverständnisses und gleicher Bedingungen auf europäischer Ebene ist ebenfalls elementar, um das von der DSGVO verfolgte Ziel, eines harmonisierten Datenschutzrechts in der EU zu erreichen und ein Level Playing Field für die Unternehmen zu schaffen. Ein wichtiger Schritt für die Gewährleistung einer europaweit einheitlichen Handhabung des Datenschutzrechts liegt nach Ansicht des BDI in der Einführung einer Verpflichtung zur Wahrnehmung des Kohärenzmechanismus bei Datenschutzangelegenheiten von länderüberreifender bzw. allgemeiner Bedeutung. Die bisher freiwilligen Abstimmungsverfahren werden derzeit von den Aufsichtsbehörden der Mitgliedstaaten nicht ausreichend in Anspruch genommen. Die Bundesregierung sollte sich daher gegenüber dem Unionsgesetzgeber insbesondere hierfür einsetzen und die nationale Datenstrategie in diesem Punkt konkretisieren. Dabei sollte sichergestellt sein, dass die Vertretung Deutschlands im Europäischen Datenschutzausschuss (EDSA) einheitlich und wirksam erfolgt und nicht durch etwaige divergierende Ansichten in den einzelnen Bundesländern gehemmt wird. Datenverarbeitung zu Forschungszwecken/Gesundheitsdatenschutz Die von der Bundesregierung speziell für eine erleichterte Datenverarbeitung zu Forschungszwecken aufgeführten Maßnahmen gehen nach Einschätzung des BDI in die richtige Richtung. Um jedoch spürbare Verbesserungen der Datennutzungsmöglichkeiten im Forschungsbereich zu erzielen, sind teilweise jedoch noch stärkere Initiativen und weitere Schritte erforderlich. ▪
So ist die Einführung einer federführenden Aufsichtsbehörde für den Bereich der Gesundheitsforschung ein erster positiver Schritt für gestraffte Verfahren und in der Umsetzung länderübergreifender Forschungsvorhaben. Die Verankerung der Norm im Regelungsbereich des SGB V wirft jedoch Fragen zur intendierten Reichweite und landesrechtlichen Konkurrenzen auf. Hier bedarf es einer Klarstellung und einer weiteren Konkretisierung seitens des Gesetzgebers.
9
Datenstrategie der Bundesregierung
▪
Überdies muss auch auf der regulatorischen Ebene dringend einer Harmonisierung der Datenschutzregeln im Gesundheits- und Forschungsbereich erfolgen. Dies gilt einerseits für die nationale Ebene mit Blick auf die in den Bundesländern divergierenden Vorschriften z.B. in den Landeskrankenhausgesetzen. Andererseits muss auch auf EU-Ebene auf eine Vereinheitlichung der in den Mitgliedstaaten geltenden unterschiedlichen Vorgaben für die Datenverarbeitung zu Forschungszwecken insbesondere im Gesundheitsbereich hingewirkt werden. Vor allem sollte die Akzeptanz in den Bundesländern für Sekundärdatennutzung gemäß Einwilligung zur Datenverarbeitung basierend auf der Rechtsgrundlage für wissenschaftliche Forschungszwecke gefordert und gefördert werden. Hierfür sollten die in der DSGVO insoweit vorgesehenen Öffnungsklauseln beschränkt bzw. präzisiert werden. Die deutsche Industrie bezweifelt, dass allein das beabsichtigte Werben der Bundesregierung für eine Harmonisierung der rechtlichen Grundlagen im Landesrecht ausreichend ist, an dem regulativen Flickenteppich auf europäischer und deutscher Ebene etwas zu ändern. Sie appelliert daher an die Bundesregierung, sich mit Nachdruck für eine Vereinheitlichung der Datenschutzregeln auf nationaler und europäischer Ebene einzusetzen und hierfür alle ihr zur Verfügung stehenden Instrumente zu nutzen.
▪
Einheitlichere und forschungsfreundliche Lösungen für die Verknüpfbarkeit von Forschungsdaten oder Daten aus dem Versorgungsgeschehen (Sekundärdaten) insbesondere mit Abrechnungsdaten der Sozialsysteme, Informationen der medizinischen Register, aber auch statistischen Daten und Umweltdaten sind für viele Erkenntnisprozesse eine Grundvoraussetzung. Entsprechende Maßnahmen seitens der Bundesregierung werden daher von der deutschen Industrie ausdrücklich begrüßt. Bereits eine einheitliche Rechtsgrundlage für die Beiziehung von Registerdaten zu Forschungsvorhaben wäre ein wichtiger Schritt hin zu einem verbesserten Anwendungsnutzen vorhandener Forschungsdaten. Zukünftig wird zudem der Einbezug von genomischen Daten und Beständen der Biobanken eine große Rolle in der Entwicklung personalisierter Therapien spielen. Mit Blick auf die Spezifika von Gesundheitsdaten sollten die für diesen Themenbereich benannten federführenden Ressorts BMBF und BMWi einen eigenen Arbeitsstrang mit dem BMG und den Stakeholdern der Gesundheitsforschung etablieren.
▪
Der in der Datenstrategie verankerte Ansatz, die grenzüberschreitende Forschung durch die Sekundärnutzung von Gesundheitsdaten zu verbessern und einheitliche Auslegungsstandards durch die Erarbeitung von Verhaltensregeln (CoC) zu schaffen, ist angesichts der unterschiedlichen Auslegungspraxis der DSGVO in den Mitgliedstaaten und innerhalb Deutschlands begrüßenswert. Dabei sollte jedoch sichergestellt werden, dass die Förderung der Sekundärnutzung von Gesundheitsdaten für alle Arten von Forschung, d.h. auch für die zu industriellen Zwecken, erfolgt. Ein verbindlicher Code of Conduct für die Nutzung von Gesundheitsdaten kann eine ethische und sichere Datennutzung durch alle Stakeholder gewährleisten und durch Vorgaben von Transparenzprinzipien Vertrauen schaffen. Die privat finanzierte Forschung sollte auch bei der Weiterentwicklung von Forschungsklauseln mitberücksichtigt werden, um Deutschland als Forschungs- und Entwicklungsstandort zu stärken. Nach dem Wortlaut der Datenstrategie sollen künftige Forschungsklauseln nur für die unabhängige wissenschaftliche Forschung geschaffen werden. Diese Beschränkung sollte aufgehoben und die Reichweite der Forschungsklauseln auf alle Forschungsarten erstreckt werden.
ePrivacy-Verordnung/Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) Im Zuge der derzeit parallelen Entwicklung eines Datenschutzrahmens für die elektronische Kommunikation auf europäischer (ePrivacy-Verordnung) und nationaler Ebene (TTDSG) ist es zur Stärkung der Rechtssicherheit elementar, für einen kohärenten Rechtsrahmen ohne Doppelregulierungen und
10
Datenstrategie der Bundesregierung
für klare Abgrenzungen der Anwendungsbereiche und Adressatenkreise der jeweiligen Regelwerke zu dem der DSGVO zu sorgen. Zur Vermeidung weiterer Rechtszersplitterung sollte die geplante Zusammenführung und Weiterentwicklung der Datenschutzvorschriften des TKG und des TMG im TTDSG neben den damit im Zusammenhang stehenden zeitgleichen Gesetzgebungsverfahren auf nationaler Eben zwingend auch die aktuellen Entwicklungen zur ePrivacy-Verordnung und dem Data Governance Act berücksichtigen. Die geplante Neuordnung der Zuständigkeiten der Aufsichtsbehörden darf nicht zu Doppelzuständigkeiten führen und muss unter Beachtung des DSGVO-Prinzips des One-Stop-Shops erfolgen. Bei den nun anstehenden Trilogverhandlungen zur ePrivacy-Verordnung dürfen die im Rat mühsam gefundenen Kompromisse zur kompatiblen Weiterverarbeitung von Daten nicht wieder zerschlagen werden. Wichtig ist, eine größtmögliche Kohärenz zwischen DSGVO und ePrivacy-Verordnung herzustellen. 2.1.2 Rahmenbedingungen bei nicht-personenbezogenen Daten Im Bereich der nicht-personenbezogenen Daten liegt das zentrale Wertschöpfungspotenzial für die deutsche Industrie. Schließlich kann die Analyse und Verknüpfung nicht-personenbezogener Daten zu erheblichen Produktivitätssteigerungen und zu einem großen wirtschaftlichen und gesamtgesellschaftlichen Nutzen führen. Hierbei kommt es ganz entscheidend auf die Verfügbarkeit von qualitativ hochwertigen Daten an, die in Verbindung mit Knowhow und Geschäftsideen zur Datenverarbeitung ihren besonderen wirtschaftlichen Wert erhalten. Viele Industrieunternehmen arbeiten bereits heute sehr erfolgreich mit eigenen Daten und generieren hieraus eine hohe Wertschöpfung – haben aber aufgrund der geringen Datenverfügbarkeit kaum Zugang zu externen Daten. Mit der Umsetzung der Datenstrategie muss die Bundesregierung das Ziel verfolgen, die Verfügbarkeit nicht-personenbezogener Daten zu steigern. Neben ihrer Verfügbarkeit ist auch der Zugang zu Daten ein wichtiger Faktor, damit sich das Potenzial einer Datenwirtschaft optimal entfalten kann. Die Bundesregierung weist jedoch zurecht darauf hin, dass neben dem Bestreben, Daten möglichst vielen interessierten Akteuren zugänglich zu machen, in gleicher Weise auch die rechtlichen sowie wirtschaftlichen Interessen von denjenigen Unternehmen berücksichtigt werden müssen, aus deren unternehmerischer Sphäre die Daten stammen bzw. entstanden oder erzeugt worden sind. Neben der Kompensation der getätigten Investitionskosten in die Erhebung und Aufbereitung von Daten ist hierbei auch der Geschäftsgeheimnisschutz zu gewährleisten. Eine innovative Datenpolitik sollte deshalb so gestaltet sein, dass Daten freiwillig geteilt werden können und eine faire Datennutzung gewährleistet wird. Nach dem Grundsatz der Vertragsfreiheit müssen Unternehmen im Rahmen der gesetzlichen Bestimmungen frei entscheiden können, mit wem und unter welchen Bedingungen sie selbst erhobene nicht-personenbezogene Daten teilen, sei es durch vertragliche Vereinbarungen, durch privatwirtschaftliche Datenpartnerschaften oder durch einen freiwilligen Open-Data-Ansatz. Dabei begrüßt der BDI ausdrücklich die Debatte auf politischer Ebene darüber, wie ein kontrollierter Austausch von Daten verbessert und gefördert werden kann. Eine effektive und faire Datennutzung bedarf jedoch grundsätzlich keiner gesetzlichen Verpflichtung zur Gewährung von Datenzugang und Datenteilung. Eine solche Pflicht wirkt innovationshemmend und fördert weder Datenqualität noch Cybersicherheit oder den Datenschutz. Um einen funktionsfähigen Wettbewerb bei Erhaltung von Innovationen zu gewährleisten, ist eine gesetzliche Regulierung des Datenzugangs nur als ultima ratio im Falle von wettbewerbswidrigen Marktzutrittsschranken oder einem Marktversagen in Erwägung zu ziehen. Mit der GWB-Novelle sind bereits nationale Sondervorschriften zum Datenzugang in Kraft, deren Effektivität es zunächst zu überprüfen gilt. In jedem Fall
11
Datenstrategie der Bundesregierung
sollte auf weitere nationale Sonderregelungen verzichtet werden, um einheitliche Rahmenbedingungen in der EU sicherzustellen. Um eine innovative Datenwirtschaft in Deutschland entstehen zu lassen, bedarf es statt zusätzlicher Daten(zugangs)regulierung vielmehr einer umfassenden Überprüfung des bestehenden Rechtsrahmens, um den freiwilligen Datenaustausch zu fördern. Bereits heute haben viele Unternehmen ein hohes wirtschaftliches Interesse, Zugang zu externen Daten, etwa in Form von Datenpartnerschaften oder Datenkooperationen, zu erlangen. Unternehmen nehmen jedoch häufig von entsprechenden Vorhaben Abstand, da große rechtliche Unsicherheiten, insbesondere hinsichtlich der kartell- oder datenschutzrechtlichen Zulässigkeit solcher Kooperationen, bestehen. Mit der Einführung von Ansprüchen der Unternehmen auf ein sog. Negativattest zur Ermutigung neuer Kooperationsformen im digitalen Umfeld und eines entsprechenden Vorsitzendenschreibens sind mit der 10. GWB-Novelle hierzu erste richtige Schritte erfolgt. Allerdings bedarf es weiterer Schritte. Nach allgemeiner Erfahrung sind Datenkooperationen häufig durch einen „trial and error“-Prozess gekennzeichnet. Um diesem dynamischen Prozess zu entsprechen, bedarf es zusätzlich einer Erleichterung für die unternehmerische Selbsteinschätzung, z.B. durch einige generelle Klarstellungen in Guidelines zur Bewertung von horizontalen Kooperationen und Informationsaustausch. Insbesondere die derzeitige Verwaltungspraxis zum Informationsaustausch ist sehr restriktiv und wird den Kooperationsbedürfnissen bei Plattform- und Ökosystemmodellen nicht gerecht. Der BDI begrüßt, dass die Bundesregierung im Regierungsentwurf zur Umsetzung der EU-Richtlinie über das Urheberrecht im digitalen Binnenmarkt für das sog. Text-und-Data Mining eine umfangreiche Ausnahmevorschrift nicht nur für die Wissenschaft und die Forschung, sondern auch für die Wirtschaft vorsieht und auf eine rechtssichere Grundlage gestellt werden. Hiermit wird Rechtssicherheit für die Unternehmen geschaffen und der Weg für Innovationen im Bereich Künstlicher Intelligenz geebnet. 2.1.3 Stärkung der Daten- und IT-Sicherheit Ein hohes Maß an Cyberresilienz ist Grundvorrausetzung für eine langfristige, erfolgreiche und sichere digitale Transformation sowie ein hohes Maß an Vertrauen in digitale Lösungen. Hierfür gilt es, einen europaweit harmonisierten Rechtsrahmen für die Stärkung der Cyberresilienz von Produkten und Unternehmen zu schaffen sowie die Nutzung kryptographischer Verfahren ohne Generalschlüssel und Backdoors zu fördern. Die Datenstrategie der Bundesregierung beinhaltet im Themenfeld „Daten- und Informationssicherheit“ nur wenige strategische und wegweisende Initiativen. So befinden sich die Vorhaben teils bereits im parlamentarischen Verfahren (IT-Sicherheitsgesetz 2.0)5 oder werden zeitnah durch das Bundeskabinett beschlossen (Nationale Cyber-Sicherheitsstrategie). Kritisch ist insbesondere zu sehen, dass die Bundesregierung in ihrer Datenstrategie nicht auf die Ratsschlussfolgerungen vom 2. Dezember 2020 rekurriert und als Maßnahme ankündigt, sich in der Europäischen Union für die Einführung horizontaler Cybersicherheitsanforderungen für vernetzbare Produkte auf Basis des New Legislative Frameworks einzusetzen. Die deutsche Industrie unterstützt das Vorhaben zur Einführung eines entsprechenden europäischen Rechtsrahmens.6 Zudem vermissen wir ein klares, uneingeschränktes Bekenntnis der
5
Vgl. hierzu BDI-Stellungnahme: https://bdi.eu/media/publikationen/#/publikation/news/referentenentwurf -fuer-ein-it-sicherheitsgesetz-2-0/. 6 Vgl. hierzu BDI-DIN-DKE-Stellungnahme: https://bdi.eu/publikation/news/europaweite-cyberregulierung.
12
Datenstrategie der Bundesregierung
Bundesregierung zum Einsatz kryptographischer Verfahren als Maßnahme zur Wahrung des Fernmeldegeheimnisses, von Unternehmens-Knowhow sowie der demokratischen Meinungsfreiheit. Neben der Verfügbarkeit von Daten, der Fähigkeit zur Verarbeitung von Daten und der Entwicklung datenbasierter Geschäftsmodelle müsste die Sicherheit von Daten und Informationen im Cyberraum einer der vier Eckpfeiler einer zukunftsgerichteten Datenstrategie sein. Hierfür fehlt es dem Themenbereich „Daten- und Informationssicherheit“ jedoch an der notwendigen Prominenz im Dokument. Zudem lässt die Strategie alle nicht-cyberbezogenen Dimensionen, wie Wirtschaftsschutz und Innentäter, völlig außer Acht. Hier gilt es deutlich und umfangreich nachzubessern. Der BDI begrüßt, dass sich die Bundesregierung vor dem Hintergrund des EuGH-Urteils zum Privacy Shield („Schrems II“) international für einen freien Datenverkehr einsetzen wird. Ein rechtssicherer internationaler Transfer von Daten ist für die global vernetzten deutschen Unternehmen von überragender Bedeutung. Mit dem „Schrems II“-Urteil des EuGH ist das rechtliche Fundament für die Übertragung personenbezogener Daten brüchig geworden. Die Industrie braucht daher dringend zeitnahe verlässliche politische Lösungen. Zusätzlich sollte sich die Bundesregierung auch für praktikable und ausgewogene Handreichungen und Leitlinien seitens der Datenschutzaufsicht und der EU-Kommission einsetzen, damit die Unternehmen ihre Datenübertragungen in Drittstaaten auch auf Basis der weiteren durch die DSGVO für den Drittstaatentransfer zur Verfügung gestellten Instrumente datenschutzkonform gestalten können. 7 Zu ausgewählten Einzelmaßnahmen: Förderung der IT- und Cybersicherheit durch das IT-Sicherheitsgesetz 2.0 Bewertung: Intention: positiv; konkrete Umsetzung: negativ Die deutsche Industrie begrüßt das Vorhaben der Bundesregierung, die Cyberresilienz Deutschlands ganzheitlich signifikant zu stärken. Cyber- und IT-Sicherheit sind Grundlage für eine langfristige sichere digitale Transformation von Staat, Wirtschaft und Gesellschaft. Alle Beteiligten – vom Hard- und Software-Hersteller bis zu gewerblichen Betreibern, Privatanwendern und staatlichen Stellen – müssen aktiv und ganzheitlich in die Stärkung der Cyberresilienz einbezogen werden. Die deutsche Industrie wird hierzu auch weiterhin ihren Beitrag leisten, denn für das störungsfreie Funktionieren von in hohem Maße digitalisierten Prozessen in Unternehmen ist ein hoher Grad an Cyberresilienz eine Grundvoraussetzung. Der Staat muss den regulatorischen Rahmen so ausgestalten, dass das Cybersicherheitsniveau Deutschlands ganzheitlich gestärkt wird. Hierzu kann das IT-Sicherheitsgesetz beitragen, in dem es Rechts- und Investitionssicherheit schafft und Unternehmen nicht ungerechtfertigt hohe, respektive unklare Vorgaben auferlegt. Wir sehen insbesondere Änderungsbedarf 8 mit Blick auf: ▪
Ganzheitlicher Ansatz: Unternehmen im besonderen öffentlichen Interesse und KRITIS-Betreibern sollte die Möglichkeit eingeräumt werden, eine Sicherheitsüberprüfung (Ü1) für Mitarbeitende sowie BewerberInnen, die in besonders sicherheitskritischen Bereichen eines Unternehmens tätig sind, zu beantragen, damit technische und organisatorische IT-
7
Vgl. hierzu Verbändepapier zum Drittstaatentransfer: https://bdi.eu/media/publikationen/?publicationtype=Themenpapiere#/publikation/news/eugh-urteil-schrems-ii-verbaendepapier-zum-datentransfer-in-drittstaaten/. 8 Vgl. hierzu BDI-Stellungnahme: https://bdi.eu/media/publikationen/#/publikation/news/referentenentwurf -fuer-ein-it-sicherheitsgesetz-2-0/.
13
Datenstrategie der Bundesregierung
Sicherheitsmaßnahmen auch ihre gewünschte Wirkung entfalten. Zudem sollte die Bundesregierung sicherstellen, dass staatliche Einrichtungen und Unternehmen Protokolldaten erheben dürfen. Protokollierungsdaten und deren Verarbeitung müssen dem Anwendungsbereich des § 87 Abs. 1 Nr. 6 BetrVG entzogen werden, damit IT-Sicherheitsverantwortliche notwendige Daten erheben können, die die Cyberresilienz und damit den Schutz von Arbeitsplätzen sichern können. ▪
Unternehmen im besonderen öffentlichen Interesse (§ 2 Abs. 14 Nr. 2): Direkt im ITSiG 2.0 sollten konkrete Kriterien eingeführt werden, welche Unternehmen von besonderer volkswirtschaftlicher Bedeutung sind. Sodann ist § 10 Abs. 5 zu streichen.
▪
Schwachstellen (§§ 4b, 7a): Sollte das BSI oder andere staatliche Stellen durch Meldungen (nach § 4b) oder durch eigene Untersuchung (nach § 7a) Erkenntnisse über Schwachstellen gewinnen, muss es diese umgehend den betroffenen Unternehmen unter Einhaltung der Responsible-Disclosure-Prinzipien zukommen lassen und darf diese Schwachstellen nicht mit weiteren staatlichen Bedarfsträgern für deren Tätigkeiten teilen.
▪
Kritische Komponenten (§ 9b): Es ist richtig, ausschließlich vertrauenswürdige Hersteller für den Einsatz kritischer Komponenten zuzulassen. Die vorgesehene Kombination aus technischer Überprüfung und politischer Vertrauenswürdigkeitsüberprüfung ist zielführend. Es braucht eine praktikable Ausgestaltung der Garantieerklärung, Kosten-Kompensation bei Ausbauverpflichtungen und eine Definition der „Lieferkette“.
▪
Bußgelder (§ 14): Die nunmehr angepasste Höhe für Bußgelder von 100.000 bis 2 Mio. Euro schafft einen akzeptablen Ausgleich zwischen maßvoll angemessener und wirksamer Sanktionierung. Allerdings ist der Verweis auf § 30 Abs.2 Satz 3 OWiG (Verzehnfachung der Bußgelder) dringend zu streichen, um Unternehmen nicht überproportional hart zu bestrafen.
Evaluierung und Fortschreibung der Cybersicherheitsstrategie Bewertung: positiv Eine holistische, wirksam umgesetzte und mit zielgerichteten Maßnahmen sowie einem ausreichend großen Budget unterlegte Nationale Cyber-Sicherheitsstrategie ist von herausgehobener Bedeutung für die Wahrung der Cyberresilienz. Daher begrüßt der BDI die frühzeitige Evaluierung der CyberSicherheitsstrategie 2016 sowie die angekündigte Fortschreibung der CSS. 9 Die Nationale Cyber-Sicherheitsstrategie 2021 sollte u.a. folgenden Themen adressieren: ▪
Ganzheitlicher Ansatz bestehend aus technischen, organisatorischen, personellen und regulatorischen Elementen
▪
Erarbeitung & tagesaktuelle Veröffentlichung von branchenspezifischen Cybersicherheits-Lagebildern durch das BSI
9
Vgl. Handlungsempfehlungen von BDI, Bitkom und DIHK: https://www.dihk.de/de/aktuelles-und-presse/aktuelle-informationen/cyber-sicherheitskompetenzen-in-staat-und-unternehmen-deutlich-staerken—30466.
14
Datenstrategie der Bundesregierung
▪
Nachhaltige Stärkung der Digitalen Souveränität Europas durch Entwicklung und Produktion von cyberresilienten Produkten, Dienstleistungen und Systemen
▪
Stärkung der europaweiten Koordinierung von Cybersicherheitsregulierung
▪
Deutschlands Stimme in internationalen und europäischen Normungs- und Standardisierungsgremien stärken
Der Nationalen Cyber-Sicherheitsstrategie 2016 fehlten klare, messbare Meilensteine, verbindliche Fristen sowie konkrete „Deliverables“. Daher sollte die Bundesregierung bei der Fortschreibung der CSS darauf achten, dass die CSS 2021 konkrete Meilensteine, Fristen und Deliverables enthält, um eine bessere Überprüfbarkeit der Erreichung der in der Strategie genannten Ziele zu gewährleisten. Der Nationale Cyber-Sicherheitsrat (NCSR) wurde im Rahmen der Cyber-Sicherheitsstrategie 2016 mit dem Ziel etabliert, „als strategischer Ratgeber der Bundesregierung“ zu Cybersicherheitsthemen zu fungieren. Aus Sicht der Wirtschaft ist diese Funktion von herausgehobener Bedeutung, da der NCSR die Cybersicherheitsexpertise von Staat und Wirtschaft vereint. Gleichwohl muss die Wirtschaft konstatieren, dass der NCSR dieser hochgesteckten Zielsetzung bisher nicht hinreichend gerecht geworden ist. Vielmehr agiert der NCSR als Gremium des unverbindlichen und zuweilen wenig zielgerichteten Austauschs. Der NCSR sollte zukünftig stärker als bisher das Gremium der Bundesregierung sein, welches den strukturierten Austausch zwischen den Bundesbehörden untereinander sowie den Bundesbehörden mit Vertretern der Wirtschaft zu strategischen Aspekten der Cybersicherheit ermöglicht. Daher bedarf es einer sowohl institutionellen als auch inhaltlichen Aufwertung des Gremiums. Zudem sollte der NCSR jeweils in seiner Sommersitzung den aktuellen Umsetzungsstand der Nationalen Cyber-Sicherheitsstrategie 2021 beraten und anschließend dem Bundeskabinett einen KurzBericht zum Umsetzungsstand der CSS 2021 auf Basis der vordefinierten Meilensteine vorlegen und darauf basierend Handlungsempfehlungen vorschlagen. Nachfolgeprogramm zu „Selbstbestimmt und sicher in der digitalen Welt 2015-2020“ Bewertung: positiv Eine gezielte Förderung der anwendungsorientierten IT-Sicherheitsforschung ist von herausgehobener Bedeutung. Das Nachfolgeprogramm zu „Selbstbestimmt und sicher in der digitalen Welt 20152020“ sollte jedoch die konkrete Entwicklung von Lösungen und Produkten auf Basis der Ergebnisse der IT-Sicherheitsforschung anstreben. Hierfür sollte die Kooperation zwischen Wirtschaft und Cybersicherheitsforschung verstärkt werden, die aktuell durch eine fehlende Kommunikation zwischen Forschungsinstituten und Wirtschaft, die Art der Förderung sowie die Ausrichtung der Prozesse auf Forschungsinstitute erschwert wird. Die Cybersicherheitsforschung sollte zukünftig einen stärkeren Beitrag zur Wahrung und Stärkung der Digitalen Souveränität Europas leisten. Ziel muss es sein, auf Basis der exzellenten deutschen und europäischen Cybersicherheitsforschung die zukünftige Wettbewerbsfähigkeit aus Basis innovativer Ideen zu unterstützen. Dazu ist eine enge Zusammenarbeit von Wirtschaft und Forschung ein entscheidender Faktor. So sollten bereits heute intensive Bemühungen zur Entwicklung von resilienten Hardwarekomponenten (u.a. im Bereich 6G) gestartet werden.
2.2 Schaffung neuer Datenräume Der BDI begrüßt die in der vorliegenden Datenstrategie aufgegriffene Initiative, einheitliche und wertebasierte Datenräume aufzubauen, um so die Vorteile einer besseren Datennutzung im Sinne einer datengetriebenen Gesellschaft und Wirtschaft voll auszuschöpfen. Hierbei ist jedoch auf eine
15
Datenstrategie der Bundesregierung
Harmonisierung innerhalb verschiedener Datenräume und eine enge Verzahnung mit den parallel vorangetriebenen Vorhaben von EU-Datenräumen hinzuwirken. Erforderlich sind gemeinsame europäische Rahmenbedingungen, um sowohl die rechtliche als auch die technische Verknüpfung an die geplanten EU-Datenräume sicherzustellen. Datenräume müssen die Prinzipien der Vertragsfreiheit und der Freiwilligkeit des Datenaustauschs als grundlegende Voraussetzung gewährleisten. Gerade die technische Anschlussfähigkeit an GAIA-X ist von großer Bedeutung, um Parallelstrukturen und -verfahren zu vermeiden und ein hohes Maß an Interoperabilität zu gewährleisten. Insbesondere mit Blick auf den Datenraum Mobilität wird nicht hinreichend deutlich, inwiefern die verschiedenen Initiativen miteinander zusammenhängen und ein Gesamtbild ergeben. Der BDI begrüßt ausdrücklich, dass neben den zahlreichen sinnvollen Förderprogrammen zugleich auch gezielte Unterstützungsangebote für die Erprobung von Innovationen in Reallaboren etabliert werden sollen. Schließlich spielen Reallabore sowohl im nationalen Kontext als auch auf europäischer Ebene eine zunehmend große Rolle, um Erkenntnisse aus der Forschung rasch in die Anwendung zu überführen und Anpassungen im Regulierungsrahmen zunächst zu erproben und später zu implementieren. Dies muss künftig auch außerhalb des engen Korsetts der Beihilferegelungen ermöglicht werden, damit Reallabore und Experimentierräume ihr großes Potenzial fortlaufend weiterentwickeln können. Datenraum Gesundheit Die deutsche Industrie bewertet es positiv, dass die Datenstrategie der Bundesregierung auf das „lebensrettende Potenzial von Daten“ (S. 28) verweist und sich dem Bereich Gesundheit ausführlich widmet. Viele der Maßnahmen können in der Gesamtheit dazu führen, die Versorgung der Patientinnen und Patienten gezielt zu verbessern. Insgesamt fehlt jedoch eine ressortübergreifende Strategie zur regulativen Ausgestaltung der Forschung i.S.d. Sekundärnutzung mit Gesundheitsdaten durch die industrielle Gesundheitswirtschaft. So wird die Gesundheitswirtschaft in der Datenstrategie gar nicht erwähnt und die private Forschung beim Antragsrecht zum Forschungsdatenzentrum explizit ausgeschlossen wird. Die Einrichtung eines Forschungsdatenzentrums für Gesundheitsdaten ist ein wichtiger Schritt zur Nutzung der Chancen von Daten in der Gesundheitsversorgung – mit dem eng gefassten Kreis der Antragsberechtigten bleibt allerdings die Industrie als zentrale Säule der medizinischen Forschung außen vor. Dies schadet dem Forschungs- und Entwicklungsstandort und entspricht nicht dem Anspruch einer international anschlussfähigen One-Stop-Agentur für Forschungskooperationen. Anträge sollten hier nicht danach beurteilt werden, von wem sie gestellt werden, sondern danach, ob sie einer inhaltlichen und ethischen Prüfung standhalten. Zudem werden wesentliche Datenhalter des Gesundheitssystems wie die medizinischen Register, Biobanken und Repositorien für genomische Daten bisher nicht mit dem Forschungsdatenzentrum verknüpft. Der Sachverständigenrat Gesundheit (SVR) zieht in seinem aktuellen Gutachten, das Fazit: Leben und Gesundheit der Menschen in Deutschland könnten besser geschützt werden, wenn endlich die Möglichkeiten der Digitalisierung im Gesundheitswesen verantwortlich und wissenschaftlich sinnvoll genutzt würden. „Auch der Sachverständigenrat hält es für unabdingbar, dass Gesundheitsdaten nicht in falsche Hände fallen. Zugleich müssen sie in richtige Hände gelangen können.“10 Entscheidend bei der Nutzung von Gesundheitsdaten ist die Kooperation auf europäischer Ebene – gerade im Hinblick auf datengetriebene Innovationsprozesse und den Forschungsstandort Europa.
10
https://www.svr-gesundheit.de/aktuelles-detail/digitalisierung-im-dienste-der-gesundheit/.
16
Datenstrategie der Bundesregierung
Besonders positiv hervorzuheben ist daher der Einsatz der Bundesregierung für einen European Health Data Space (EHDS) mit dem Ziel einer Erleichterung der Sekundärnutzung von Gesundheitsdaten in der EU. Dafür ist es unter anderem erforderlich, eine europäische Aufsichtsbehörde zur Überwachung von Datentreuhändern zu schaffen, um bestehende Strukturen zusammenführen sowie gemeinsame Standards festzulegen. Die Bundesregierung muss zudem die Anschlussfähigkeit der deutschen Dateninfrastruktur sicherstellen – und die private Forschung dabei einbeziehen. Die derzeitige Ausgestaltung des deutschen Forschungsdatenzentrums, das voraussichtlich auch beim EHDS eine wichtige Rolle spielen wird, darf nicht zum Wettbewerbsnachteil für Unternehmen in Deutschland werden. Die im Patienten-Daten-Schutzgesetz (PDSG) vorgesehene Möglichkeit zur Freigabe von Daten aus der elektronischen Patientenakte (ePA) durch Versicherte verfolgt den richtigen Ansatz, Behandlungsdaten zur Verbesserung der Versorgung zu nutzen. Entgegen der Darstellung der Bundesregierung besteht jedoch noch Handlungsbedarf bei der Einführung einer forschungskompatiblen ePA. Der Sachverständigenrat Gesundheit sieht diesen Handlungsbedarf und hat hierzu Ende März dieses Jahres ein Opt-Out-Verfahren vorgeschlagen: „Um gesundheitsbezogene Daten von Patientinnen und Patienten für eine auf das individuelle und kollektive Patientenwohl zielende Forschung ohne Einwilligungserfordernis nutzen zu können, sollte eine gesetzliche Befugnisnorm gemäß § 9 Abs. 2 EU-Datenschutzgrundverordnung geschaffen werden. Sofern dies politisch nicht durchsetzbar sein sollte, wäre als Standardeinstellung für die ePA eine Bereitstellung der Versorgungsdaten für die Sekundärnutzung, verbunden mit einer Information hierzu, vorzusehen. Die Wahlmöglichkeiten sowohl zur Anlage der ePA als auch zur Bereitstellung für Sekundärnutzung sollten möglichst einfach und niederschwellig ausgestaltet sein. Sowohl bei der Anlage der ePA als auch hinsichtlich der Entscheidung über eine Freigabe von ePA-Daten zu Forschungszwecken sollte also anstelle des derzeitigen Opt-inVerfahrens ein Opt-out-Verfahren implementiert werden. Nur so kann ein weitgehend repräsentatives Abbild des Versorgungsgeschehens erreicht werden.“ So werden erst mit der Verfügbarkeit strukturierter Inhalte sinnvolle Erkenntnisprozesse möglich sein. Entsprechend sollten insbesondere medizinische Informationsobjekte zum Labor, zur Bildgebung und Befundung gesetzlich priorisiert und Anreize für die vollständige strukturierte Dokumentation im Versorgungsalltag gesetzt werden. Darüber hinaus ist der Kreis der Nutzer einer „Forschungsdatenspende“ gesetzlich aufgeteilt in die Antragsberechtigten beim Forschungsdatenzentrum und Nutzer, wie z.B. die industrielle Gesundheitswirtschaft, die nur über eine direkte und organisatorisch noch umzusetzende Einwilligung der Versicherten Zugang zu den Daten erhalten sollen. Bei der Pilotierung einer systematischen Messung der Leistungsfähigkeit und Effizienz des deutschen Gesundheitssystems kommt es darauf an, die mit dem Versorgungsgeschehen befassten Akteure des Gesundheitswesens auch in die Ausgestaltung eines solchen Messinstrumentes einzubeziehen. Die Versorgungsforschung trägt zu einer hohen Qualität und Effizienz der Patientenversorgung in Deutschland bei und ist bereits heute Grundlage für evidenzbasierte Entscheidungen. Bei der institutionellen Umsetzung der Messung ist auf die Unabhängigkeit der damit befassten Stellen zu achten. Des Weiteren sollten allen Stakeholdern des Gesundheitswesens und der wissenschaftlichen Forschung im Sinne des Open-Data-Grundsatzes die erhobenen Rohdaten für eigene Analysen zugänglich sein. Perspektivisch ist denkbar, diese Erhebungen für erste Pilotierungen von Value-Based Pricing bzw. Healthcare zu nutzen. Als Indikator sollte in der Messung auch der Grad der Digitalisierung erfasst werden. Die Medizininformatik-Initiative hat bereits wesentliche Vorleistungen zur bundesweiten Erschließung interoperabler, qualitätsgesicherter Versorgungsdaten erbracht. Positiv ist zudem die vom BMBF
17
Datenstrategie der Bundesregierung
angelegte und in der deutschlandweiten breiten Einwilligungserklärung vorgesehene konsentierte Nutzung von Daten auch im Rahmen privat finanzierter Forschungsvorhaben. Aus Sicht der Industrie ist das Errichten einer leistungsfähigen zentralen Antrags- und Registerstelle mit der Möglichkeit zur Feasibility-Abfrage in Echtzeit ein Meilenstein für die Forschung mit Versorgungsdaten in Deutschland. Die Ergänzung der bisher allein aus der Universitätsmedizin gespeisten Daten der MedizininformatikInitiative um erste Einrichtungen der außeruniversitären stationären und ambulanten Versorgung durch Digitale Fortschritts Hubs Gesundheit ist ein wichtiger Schritt, um auch diese Endpunkte in Studiendesigns abbilden zu können. Die industrielle Gesundheitswirtschaft befürwortet die Initiative zur bundeseinheitlichen Zusammenführung der bislang rechtlich getrennten Landeskrebsregisterdaten auf Grundlage des onkologischen Basisdatensatzes ausdrücklich. Die Ausgestaltung des Antragsverfahrens beim Zentrum für Krebsregisterdaten entlang eines positiven Fachvotums für das einzelne Forschungsvorhaben unabhängig von dessen Trägerschaft kann als Blaupause für andere Forschungsdatenzentren dienen. Auch hier ist die Qualität der erhobenen Daten eine Grundvoraussetzung für die Nutzbarkeit. Ein möglicher nächster Schritt wäre, den Ansatz der Zusammenführung und Standardisierung auf andere Indikationen (z.B. der Alzheimer-Erkrankung oder Diabetes) auszuweiten. Das Konzept eines Fahrplans für die Weiterentwicklung von Forschung mit gesundheitsrelevanten Daten ist grundsätzlich positiv zu bewerten. Die darin enthaltenen bisher nicht bekannten Vorhaben bleiben jedoch für Kooperationspartner bis zur kurzfristigen Ausschreibung unklar, was Ziele und Teilnahmevoraussetzungen betrifft. Vielen Förderprogrammen fehlt die translationale Perspektive. Denkbar wäre analog der europäischen IMI-Förderung ein verstärkter obligater Einbezug von Industriepartnern in geförderte Konsortien. Die Verfügbarkeit genomischer Daten ist eine entscheidende Voraussetzung für die Entwicklung personalisierter Therapien. Daher befürwortet die deutsche Industrie die Initiative genomDE. Der bislang bekannt gewordene Ansatz des Projektes sollte allerdings auch Skaleneffekte durch zentrale Sequenzierzentren und Analyseplattformen jeweils auf dem neuesten Technik- und Wissensstand nutzen. Zudem ist genomDE im Vergleich zu ähnlichen wissensgenerierenden Infrastrukturen in Europa unterfinanziert. Es braucht zusätzliche Anstrengungen und Industriepartnerschaften, damit Deutschland hier nicht weiter den Anschluss verliert. Der Förderschwerpunkt „Digitale Innovationen für die Verbesserung der patientenzentrierten Versorgung im Gesundheitswesen“ und die damit verbundene Förderung von KI- und Big-Data-Anwendungen in der Patientenversorgung sind positive Entwicklungen. Bislang fehlen in Deutschland aber adäquate rechtliche Möglichkeiten, diese Anwendungen in der Praxis anhand realer Daten des Versorgungsgeschehens weiter zu verbessern. Um die geplanten Vorhaben erfolgreich umzusetzen, kommt es darauf an, alle Maßnahmen im Bereich Gesundheit mit verbindlichen Zeit- und Projektplänen zu versehen. Wichtig wäre außerdem die Koordination der verschiedenen Initiativen und das Heben von Synergie-Möglichkeiten. Derzeit läuft Vieles parallel, sodass eine berechtigte Sorge vor nicht kompatiblen oder interoperablen Lösungen und heterogenen Umsetzungen besteht (MII, ZPM, BKFZ, Klinische Krebsregister etc.). Datenraum Mobilität Der Aufbau des Nationalen Datenraums Mobilität muss die Wettbewerbsfähigkeit der Unternehmen sichern und stärken, intermodale Reise- und Informationsketten fördern, Marktplätze für einfachen und
18
Datenstrategie der Bundesregierung
schnellen Datenaustausch ermöglichen, Anreize für Investitionen in Datenerhebung und -qualität stärken sowie Einsatz digitaler Zwillinge, datenbasierter Services oder neuer Geschäftsmodelle voranbringen. Derzeit steht im Fokus des Datenraum Mobilität die Schaffung von multimodalen Angeboten bzw. Lösungen. Darüber hinaus wird auf die Zusammenlegung der „mCLOUD“ und des Mobilitätsdatenmarktplatzes (MDM) hingewiesen und eine künftige Bereitstellung über den Datenraum Mobilität angerissen. Der MDM fungiert derzeit als Nationaler Zugangspunkt für mandatierte (verpflichtende) Daten, im Datenraum Mobilität wird den Teilnehmern Vertragsfreiheit und Freiwilligkeit zugesichert. Hier bedarf es einer weiteren Schärfung des Ziels und der Aufgabe des Datenraums Mobilität. Grundsätzlich muss die Datenstrategie im Einklang mit weiteren Mobilitätsvorhaben der Bundesregierung stehen und mehrere Verkehrsträger abbilden. Grundsätzlich sollte diesbezüglich auch ein Einklang mit der europäischen Rechtsetzung zum Thema multimodale Reisedaten bestehen. Mit Verweis auf Abschnitt 2.2 der Datenstrategie wird darauf hingewiesen, dass unter Federführung des BMVI die „rechtlichen Rahmenbedingungen zur Bereitstellung von Mobilitätsdaten weiter konkretisiert und ausgebaut“ werden sollen. Wir erwarten, dass die Bundesregierung und die beteiligten Ressorts ein einheitliches Vorgehen anstreben, um eine widersprüchliche Gesetzgebung zu vermeiden sowie darauf zu achten, sich auch stets mit europäischen Initiativen zu harmonisieren.
2.3 Datentreuhänder und neue Kooperationsformen Das Potenzial datengetriebener Geschäftsmodelle wird insbesondere dann nicht vollständig ausgeschöpft, wenn die am Austausch beteiligten Akteure einander nicht vollumfänglich vertrauen oder ein direkter Datenaustausch technisch oder rechtlich nicht möglich ist. Gerade in solchen Fällen ist der Einsatz von Datentreuhändern ein potenziell vielversprechender Aspekt einer funktionierenden dezentral organisierten Datenwirtschaft. Insbesondere mit Blick auf das laufende Legislativverfahren zum EU Data Governance Act bedarf es jedoch eines einheitlichen Begriffsverständnisses und einer Konkretisierung des Anwendungsbereichs von „Datentreuhändern“. Wie die Bundesregierung in der Datenstrategie richtigerweise betont, sind Datentreuhänder kein „Allheilmittel“. Bereits heute gibt es in vielen Industriebranchen viele gut funktionierende Modelle eines Datenaustauschs, die auf Basis von fairen und privatautonomen vertraglichen Regelungen beruhen. Daher ist wichtig, dass regulatorische Vorgaben bereits bestehende Initiativen unterstützen und weitere Anreize für die Datenübermittlung schaffen. Der BDI spricht sich deshalb für eine sektorspezifische Betrachtungsweise aus. Auf der einen Seite können Datentreuhänder bspw. im Bereich der Gesundheitsdaten oder beim Umgang mit personenbezogenen Daten eine wertvolle Rolle spielen, um das notwendige Vertrauen bei der Datenbereitstellung herzustellen. Zu klären ist jedoch, ob die in der Datenstrategie avisierte Möglichkeit für Datentreuhänder, eine Anonymisierung personenbezogener Daten vorzunehmen (S. 34), mit dem geltenden Datenschutzrecht im Einklang steht. Auf der anderen Seite gibt es insbesondere im B2B-Kontext viele Sektoren bzw. Märkte, in denen weder ein Vertrauensmangel zwischen den Akteuren noch eine technische oder rechtliche Einschränkung beim Austausch von Daten festzustellen ist. Der Einsatz von Datentreuhändern wäre hier nicht zielführend, zumal vielfach bereits Branchenvereinbarungen oder Dienstleistungsangebote, die einen Rahmen für die Datenverwaltung vorsehen, existieren. Im industriellen Kontext müssen häufig riesige Mengen von IoT-generierten Daten direkt an der Edge übertragen und verarbeitet werden. Dies führt zu erheblichen Herausforderungen in Bezug auf die Data-Layer-Architekturen und die Kosten, die mit zusätzlichen Verbindungs- oder Zugriffsschichten durch einen Datentreuhänder verbunden sind. Diese
19
Datenstrategie der Bundesregierung
zusätzlichen Kosten- und Komplexitätsfaktoren sollten insofern nur dann aufgewendet werden, wenn ein Datentreuhänder auf der anderen Seite einen echten Mehrwert für den Datenaustausch schafft. Der Einsatz von Datentreuhändern sollte deshalb grundsätzlich auf freiwilliger Basis erfolgen. Gleichzeitig muss bei regulatorischen Vorgaben zu Datentreuhändern darauf geachtet werden, dass Datentreuhänder zusätzliche Dienste zur gemeinsamen Nutzung anbieten können, etwa Dienste zur Datenaufbereitung wie Qualität, Interoperabilität, kommerzielle Darstellung (Metadaten), und statistische Auswertungen. Insbesondere KMU sind oftmals mangels eigener Expertise auf entsprechende Analyse-Werkzeuge angewiesen, um ihre Daten überhaupt erst attraktiv für andere Unternehmen zu machen. Zudem stellen diese zusätzlichen Angebote auch einen Differenzierungsfaktor dar, anhand dessen sich Datentreuhänder im Markt gegenüber der Konkurrenz unterscheiden können. Der jüngst von der EU-Kommission veröffentlichte Legislativvorschlag des Data-Governance Act wird den vorstehenden Anforderungen allerdings nicht gerecht. Der Legislativvorschlag führt eine ganze Reihe von administrativen und regulatorischen Pflichten für solche Anbieter ein (Einrichtung einer eigenen „legal entity“, Kosten für Monitoring und Compliance, potentielle Strafzahlungen, Vorgaben zur Unabhängigkeit von Dateninhaber und Nutzer und strukturellen Separierung von Diensten etc.), ohne allerdings im Gegenzug Erleichterungen oder Anreize zu schaffen, die zu einer größeren Skalierbarkeit bestehender Dienste führen könnte.11 Um Rechtsunsicherheit und zusätzliche Bürokratie für Industrieunternehmen zu vermeiden, muss außerdem der Anwendungsbereich von Kapitel III DGA-E generell präzisiert werden. Sollte die EU-Kommission mit den Vorgaben im Data Governance Act den Ansatz verfolgen, in Europa reine Datendurchleitungsstellen zu kreieren, die allein auf die Datenübermittlung beschränkt sind, so ist der Mehrwert eines verbindlichen Rechtsrahmens für Datentreuhänderdienste aus Sicht des BDI generell in Frage zu stellen. Um Datentreuhänder-Dienste transparenter und so für B2B und B2C Lösungen attraktiver zu machen, sollten Diensteanbieter vielmehr die Möglichkeit erhalten, eigene Services anzubieten. Zudem sollte von der im Kommissionvorschlag vorgesehenen Anmeldepflicht abgesehen und ein freiwilliger Ansatz verbunden mit einer Zertifizierungsmöglichkeit und einem öffentlichen Register gewählt werden.
2.4 Risiken bekämpfen: Stärkung der Interessen der Bürgerinnen und Bürger in der Datenökonomie Das übergeordnete Ziel einer innovativen Datenpolitik muss es sein, eine verantwortungsvolle Datennutzung unter Wahrung der legitimen Interessen von Bürgerinnen und Bürgern zu gewährleisten. Im Fall von Trainingsdaten für KI-Systeme besteht derzeit das Grundproblem in der mangelnden Verfügbarkeit qualitativ hochwertiger, aussagekräftiger Datenpools. Häufig fehlt schlichtweg der Zugang zu solchen Daten in einer hinreichend großen Anzahl, die eine Grundlage für eine möglichst präzise und diskriminierungsfreie Entscheidung ermöglichen kann. So richtig der Ansatz von diskriminierungsfreien Anforderungen an Trainingsdaten auch ist, er kann nur dann seine tatsächliche Wirkung in der Praxis entfalten, wenn ausreichend diskriminierungsfreie Daten vorliegen, auf dessen Grundlage der Algorithmus eine Entscheidung treffen kann. Mögliche Anforderungen sollten zudem klar auf sensible Anwendungsbereiche mit hohem Personenbezug beschränkt sein.
11
Vgl. hierzu BDI-Stellungnahme: https://bdi.eu/publikation/news/verordnungsvorschlag-ueber-europaeische-daten-governance/.
20
Datenstrategie der Bundesregierung
Zu IV. Den Staat zum Vorreiter machen 4.1 Mit E-Government Voraussetzungen schaffen Die Voraussetzung dafür, dass der Staat zum Vorreiter werden und verstärkt Open Government Data anbieten und nutzen kann, ist eine funktionierende digitale Verwaltung und ein Ende der analogen Zettelwirtschaft in deutschen Amtsstuben. Was dafür getan werden muss, zeigt der BDI in seinem 8Punkte-Plan für eine starke digitale Verwaltung. 12 Derzeit ist Deutschland noch inakzeptabel weit von umfassenden E-Government-Angeboten für Bürger/Innen und Unternehmen entfernt. Grundvoraussetzung dafür dieses Ziel zu erreichen ist aktuell die fristgerechte Umsetzung des Onlinezugangsgesetzes (OZG) unter Einbeziehung der Wirtschaft als zentralem Nutzer und Anbieter. Oberste Maxime für alle Digitalisierungsbestrebungen der öffentlichen Hand muss die konsequente Ausrichtung an den Anforderungen der Nutzer/Innen – also der Bürger/Innen und der Unternehmen aller Größen und Branchen – sein. Mit oberster Priorität muss konkret die Einführung eines bundesweit einheitlichen Unternehmenskontos und der damit verbundene Zugang zum Portalverbund vorangetrieben werden. Perspektivisch muss eine integrierte Plattform die gemeinsame Zielmarke sein. Gleichzeitig sollten die über 200 Register digitalisiert und miteinander verknüpft werden. Viel zu oft fehlt es an bundesweit einheitlichen Möglichkeiten einer digitalen Prozessabwicklung (bspw. im Bereich der Zollverwaltung). Hier ist es wichtig, zeitnah konkrete Prozesse und Produkte mit einheitlichen Standards zu etablieren. Rechtssicherheit im Umgang mit personenbezogenen Daten und eine sichere Authentifizierung über die Endgeräte sind kritische Wegmarken. Maßnahmen müssen in enger Zusammenarbeit mit der Wirtschaft über eine gemeinsame Anlaufstelle koordiniert werden. Nur so kann eine flächendeckende digitale Verwaltung gelingen.
4.2 Nachhaltige Verbesserung der Dateninfrastruktur in den Verwaltungen Die Corona-Pandemie hat die bestehenden, großen Defizite mehr als deutlich werden lassen. Behörden waren nur unzureichend vorbereitet und in weiten Teilen völlig ungenügend digital fit. Die Soforthilfen beispielsweise hätten mit einer starken digitalen Verwaltung deutlich schneller und effizienter verteilt werden können. Noch immer fehlen funktionierende Registerabgleiche, eine bundeseinheitliche Wirtschaftsnummer oder ein digitales Unternehmenskonto, mit dem sich Unternehmen für digitale Verwaltungsleistungen registrieren können. Enorme staatliche Effizienzpotenziale liegen brach und die zunehmende Kluft zwischen öffentlicher und privater digitaler Ausstattung droht zu einem ernsthaften Standortproblem zu werden. Allein bei der Vergabe öffentlicher Aufträge ist es während der CoronaPandemie aufgrund von Verzögerungen zu einem Investitionsstau von ca. 8 Mrd. Euro gekommen.13 Gleichzeitig gibt die Krise Hoffnung, dass selbst ambitionierte Projekte, wie die Corona-Warn-App, in kürzester Zeit zielführend vorangetrieben werden können, wenn konzeptionelle Klarheit, Entschlossenheit, gebündelte Kräfte und eine enge Verzahnung von Wirtschaft und Politik aufeinandertreffen. Für die digitale Transformation der Verwaltung brauchen wir genau diese Herangehensweise und einen Kulturwandel auf allen Ebenen.
12
BDI (2021): Eine starke digitale Verwaltung für eine noch stärkere Wirtschaft: Der 8-Punkte-Plan für einen radikalen Wandel in der deutschen Amtsstube. Online abrufbar unter: http://www.bdi.eu/publikation/news/eine-starke-digitale-verwaltung-fuereine-noch-staerkere-wirtschaft. 13 BMWi (2020): Antwort auf kleine Anfrage BT-Drucksache 19/20766. Abrufbar unter: https://www.bmwi.de/Redaktion/DE/Parlamentarische-Anfragen/2020/19-20766.pdf?__blob=publicationFile&v=6.
21
Datenstrategie der Bundesregierung
4.3 Öffentlich finanzierte Datensätze und Open Government Data Der BDI begrüßt grundsätzlich die Bestrebungen der Bundesregierung, öffentliche Daten besser verfügbar zu machen sowie privatwirtschaftliche Datenpartnerschaften und privat-öffentliche Datenkooperationen zu unterstützen. Das „Zweite-Open-Data-Gesetz“, dass neben einer besseren Verfügbarkeit durch Anpassungen in § 12a EGovG-E auch verbesserte Nutzung öffentlicher Daten in einem Datennutzungsgesetz (DNG) vorsieht, ist deshalb ein richtiger Schritt. Neben einer entsprechenden Ausstattung an Hard- und Software benötigen Behörden und öffentliche Verwaltung vor allem das notwendige Know-How, damit der Staat seiner Vorreiterrolle gerecht werden kann. Bei der Bereitstellung öffentlicher Daten ist vor allem sicherzustellen, dass die Daten in standardisierter maschinenlesbarer Form zur Verfügung gestellt werden. Um eine echte Open-Data-Kultur zu etablieren, ist neben der Qualität der bereitgestellten Daten die Quantität von öffentlichen Daten von ebenso großer Bedeutung. Die im RegE zum „Zweiten-OpenData-Gesetz“ in § 1 Abs. 1 DNG-E gewählte Formulierung, dass Daten nur „soweit möglich und sinnvoll nach dem Grundsatz ‚konzeptionell und standardmäßig offen‘ erstellt werden“ sollen, lässt jedoch befürchten, dass viele öffentliche Datensätze, die in den Anwendungsbereich des Gesetzes fallen, in der Praxis nicht zur Verfügung gestellt werden, insbesondere da aus dem Datennutzungsgesetz keine Bereitstellungspflicht und kein Anspruch auf Zugang zu Daten abgeleitet werden kann. Deshalb sollte im geplanten Datennutzungsgesetz (DNG) die Verankerung des „open by default“-Prinzips legislativ umgesetzt werden, sodass Daten grundsätzlich veröffentlicht werden und nur bei schwerwiegenden Gründen von diesem Grundsatz abgewichen werden. Allerdings muss bei der Verfügbarmachung von Daten der öffentlichen Hand beachtet werden, dass keine Daten zur Verfügung gestellt werden, die vertrauliche Angaben, Betriebs- und Geschäftsgeheimnisse oder personenbezogene Daten von Wirtschaftsteilnehmern oder ihren Angestellten zum Inhalt haben, so wie es teilweise in § 12a EGovG bereits geregelt ist. Zudem hält der BDI freiwillige Kooperationen im Bereich „Business 2 Government“ gegenüber einer gesetzlichen Zugangsverpflichtung für Daten „im öffentlichen Interesse“ für weiterhin vorzugswürdig, soweit kein Marktversagen festgestellt wurde. Eine Vielzahl von Unternehmen aus den unterschiedlichsten Branchen kooperiert bereits heute erfolgreich mit öffentlichen Stellen, beispielsweise wenn es um intelligentes Verkehrs-management durch entsprechende Analysen und Auswertungen von Standortinformationen geht. Ein Marktversagen, das legislatives Einschreiten in Form einer Datenzugangsverpflichtung rechtfertigen würde, ist hierbei nicht erkennbar. Öffentliche und mit öffentlicher Finanzierung erhobene Daten sollten vermehrt über offene Datenportale in standardisierter maschinenlesbarer Form unter Berücksichtigung der zuvor genannten Ausnahmen zur Verfügung gestellt werden. Die Ankündigung der Bundesregierung, im Rahmen ihrer Künstlichen Intelligenz (KI)-Strategie die Verfügbarkeit und Nutzbarkeit von Daten zu erhöhen, ist zu begrüßen. Der Erfolg von KI hängt in hohem Maße von der Verfügbarkeit von qualitativ hochwertigen Trainingsdaten ab.
22
Datenstrategie der Bundesregierung
Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Gesamtredaktion Dr. Michael Dose Referent Digitalisierung und Innovation T: +49 30 2028-1560 m.dose@bdi.eu
BDI Dokumentennummer: D 1352
23