Interoperabilität im Data Act

Interoperabilität im Data Act

Wenn das „Potential von Daten“ verbessert, die Datenwirtschaft gestärkt und zugunsten von Verbrauchern und alternativen Anbietern der Wechsel zwischen diversen Services vereinfacht werden soll, kommt es vor allem auf eines an: Interoperabilität, also die Fähigkeit verschiedener digitaler Produkte (Cloud, Anwendungen, Komponenten, …) miteinander zu interagieren, jenseits der üblicherweise erwarteten und zur Verwendung notwendigen Kompatibilität z.B. mit dem Betriebssystem des Smartphones – sei es der einfache Wechsel zwischen zwei Cloud-Anbietern, von einer zur anderen Social Media Plattform oder auch die Austauschfähigkeit zwischen diversen Signaturangeboten. 

Es verwundert angesichts dessen nicht, dass der Data Act dem Thema ein eigenes Kapitel VIII widmet: „Der Datenaustausch innerhalb und zwischen Wirtschaftszweigen erfordert einen Interoperabilitätsrahmen mit verfahrenstechnischen und legislativen Maßnahmen zur Stärkung des Vertrauens und zur Steigerung der Effizienz.“ (COM(2022) 68 final, S. 3). 

Einen allgemeinen Überblick über alle Kapitel des Data Act finden Sie hier:

Data Act: Von der Datenbereitstellung, fairen Vertragsregelungen und Interoperabilität

Der Überblick: Ziel und Anwendungsbereich 

Kapitel VIII stellt in Art. 28-30 Data Act Entwurf grundlegende Interoperabilitäts-Anforderungen die es zukünftig einzuhalten gilt, um damit einen weitgehenden und einfachen Datenaustausch möglich zu machen. Dies soll Hindernisse für die gemeinsame Nutzung von Daten über gemeinsame Datenräume hinweg und zwischen diversen Produkten beseitigen. Im Fokus stehen dabei Datenräume („data spaces“, also etwa Cloud-Angebote), Datenverarbeitungsdienste und intelligente Verträge („smart contracts“).

„Interoperabilität“ bezeichnet die Fähigkeit verschiedener Systeme, Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen (Art. 2 Nr. 19). Die Kommission sieht hierin eine wesentliche Voraussetzung für eine offene Innovation in der europäischen Datenwirtschaft. Da marktgesteuerte Prozesse nach Ansicht der Kommission nicht dazu in der Lage sind, technische Standards oder Normen festzulegen, die eine wirksame Cloud-Interoperabilität auf PaaS- (Platform-as-a-Service) und SaaS- (Software-as-a-Service) Modellen ermöglichen, soll der Data Act Normung und Standardisierung vorantreiben (Erwägungsgrund 76).

All dies ergänzt und stützt die Datenportabilitätsvorgaben im Data Act, zu denen Sie hier weitere Erläuterungen finden:

Wechsel zwischen Datenverarbeitungsdiensten: Datenportabilität

Die Interoperabilitätsvorgaben gehen indes noch weit darüber hinaus, vom Adressatenkreis und auch inhaltlich:

Die Adressaten

Adressiert werden drei verschiedene Anbieter digitaler Produkte:

  • Betreiber von Datenräumen („data spaces“) in Art. 28, also Inhaber von Beständen unterschiedlichster Datenansammlungen. Ein solcher Datenraum wird aktuell im Gesundheitswesen auf EU-Ebene vorangetrieben, der EHDS.
  • Anbieter von Datenverarbeitungsdiensten in Art. 29: Dies sind alle digitalen Dienstleistungen wie Cloud-Anbieter, die Zugang zu Speicherplatz u.ä. – in der Verordnungssprache zu einem „skalierbaren und elastischen Pool gemeinsam nutzbarer, zentralisierter, verteilter oder hochgradig verteilter Rechenressourcen“ eröffnen und die nicht Online-Inhaltedienste sind (ausgenommen sind also z.B. Webcasting oder video-on-demand Angebote). 
  • Anbieter von Anwendungen, in denen intelligente Verträge („smart contracts“) verwendet werden in Art. 30. Als „intelligente Verträge“ bezeichnet der Data Act in einem elektronischen Vorgangsregistersystem gespeicherte Computerprogramme, die das Ergebnis der Programmausführung aufzeichnen und darüber Transaktionen zu vorab festgelegten Bedingungen ausführen und abwickeln. 

Der Inhalt: Was ist zu tun?

All diese Anbieter müssen die im Data Act festgelegten Mindestanforderungen an ihre Interoperabilität mit anderen Angeboten bzw. für ihre Nutzung einhalten. Im Ausgangspunkt bleiben die Anforderungen abstrakt, um den Anwendungsbereich auf möglichst viele technische und vertragliche Konstellationen zu erstrecken und entwicklungsoffen zu bleiben. In ihren praktischen Auswirkungen sind sie indes enorm:  

  • Datenräume [Art. 28]

Die Betreiber von Datenräumen müssen die folgenden Anforderungen erfüllen, um die Interoperabilität von Daten und Datennutzungsmechanismen zu verbessern:

  • Bestimmtheit des Inhalts eines Datensatzes, Nutzungsbeschränkungen, Lizenzen, Methodik der Datenerhebung und Datenqualität, damit der Datenempfänger die Daten unkompliziert finden, darauf zugreifen und nutzen kann;
  • Beschreibung von Datenstrukturen, Datenformaten, Vokabular, Klassifikationsschemata, Taxonomien und Codelisten in einer öffentlich zugänglichen und konsistenten Weise;
  • die technischen Mittel für den Datenzugriff (z.B. Programmierschnittstellen und deren Nutzungsbedingungen) müssen ausreichend beschrieben werden, um den automatischen Zugang und die automatische Übermittlung von Datenzwischen den Parteien kontinuierlich in einem maschinenlesbaren Format zu ermöglichen;
  • die Mittel, um Interoperabilität von „smart contracts“ innerhalb ihrer Diensten und Tätigkeiten zu ermöglichen, sollen bereitgestellt werden.

Wo es keine (ausreichenden) harmonisierten Standards gibt, um den geforderten Anforderungen gerecht zu werden, wird die Kommission dazu ermächtigt, entsprechende gemeinsame Vorgaben zu erlassen. Außerdem soll die Kommission „Leitlinien“ zur Festlegung von Interoperabilitätsspezifikationen erlassen, die einen gemeinsamen europäischen Datenraum ermöglichen. Hierzu gehören z.B. technische Standards zur Umsetzung rechtlicher Vorschriften und Vereinbarung zwischen Parteien, die die gemeinsame Datennutzung fördern

  • Datenverarbeitungsdienste [Art. 29]

Für Datenverarbeitungsdienste wählt die Kommission einen anderen Regelungsansatz: Sie legt nicht fest, welche Mindestanforderungen Anbieter einhalten müssen, sondern definiert die Anforderungen an die zu entwickelnden Spezifikationen und Normen, die dann ihrerseits zum Maßstab werden. Vorgegeben wird für diese Interoperabilitätsspezifikationen und Normen für Datenverarbeitungsdienste wird, dass sie:

  • leistungsorientiert sind, um Interoperabilität zwischen Datenverarbeitungsdiensten desselben Typs zu erreichen;
  • die Portabilität digitaler Bestände zwischen verschiedenen Datenverarbeitungsdiensten desselben Typs verbessern und
  • die funktionale Gleichwertigkeit zwischen verschiedenen Datenverarbeitungsdiensten desselben Typs garantieren, soweit dies technisch machbar ist.

Insofern schreibt der Data Act-Entwurf vor, dass die Interoperabilitätsspezifikationen für Datenverarbeitungsdienste verschiedene Cloud-Aspekte adressieren soll. Damit sollen sichergestellt sein, dass Cloud-anwendungsspezifische Aspekte in Bezug auf Interoperabilität und Datenportabilität Berücksichtigung finden. Der Data Act nennt explizit syntaktische, verhaltensbezogene oder strategische Aspekte (Art. 29 Nr. 2).

  • „smart contracts“ [Art. 30]

Verbessert werden soll durch den Data Act auch die Marktgängigkeit intelligenter Verträge, der „smart contracts“. Dafür werden Anforderungen definiert, die Anbieter von Anwendungen mit intelligenten Verträgen oder diejenigen, die diese unternehmerisch für Dritte bereitstellen, einzuhalten haben. Um die Integrität von „smart contracts“ zu gewährleisten, schreibt der Data Act-Entwurf die folgenden Anforderungen vor: 

  • Eine ausreichend konzipierte Robustheit, um Funktionsfehler und Manipulation durch Dritte zu vermeiden;
  • Mechanismen, um eine sichere Beendigung oder Unterbrechung von Transaktionen zu gewährleisten, um (versehentliche) Ausführungen zu verhindern oder zurückzusetzen;
  • eine Datenarchivierung- und Kontinuität, um die Transaktionsdaten und Programmierung aufzuzeichnen und überprüfbar zu machen sowie
  • eine strenge Zugriffskontrolle auf die Bedienungselemente. 

Darüber hinaus ist auch hier die Festlegung harmonisierter Standards und Normen vorgesehen, durch welche die allgemeinen Interoperabilitäts-Anforderungen jeweils weiter konkretisiert werden sollen. 

Ausblick: Bedeutung für die Praxis 

Interoperable Dienste eröffnen deutlich verbesserte Nutzungsmöglichkeiten und eine echte Datenwirtschaft ohne vermeidbar LockIn-Effekte und mit deutlich erweiterter Skalierbarkeit. Die beschriebenen Neuregelungen haben insofern enorme praktische Wirkung auf sämtliche der betroffenen Dienste und stellen Anbieter vor ganz erhebliche Herausforderungen.

Die Kommission verspricht sich von der Etablierung einer grundlegenden Interoperabilität die Beseitigung von Barrieren, um eine effektive und gemeinsame Datennutzung zu ermöglichen. Insbesondere sollen Verbraucher und andere Datennutzer dazu befähigt werden, zwischen verschiedenen Anwendungen unkompliziert und sicher wechseln zu können. Der tatsächliche Nutzen ist jedoch umstritten, denn ein umfassender Datenaustausch geht zwingend mit der Öffnung von Datenbanken zu gemeinsamen Schnittstellen einher. Dies wiederum kann Sicherheitsrisiken verursachen, wie diese Aktuell zum Data Service Act hinreichend virulent diskutiert werden. Dienste, die gerade eine besondere Verschlüsselung, ein hohes Datenschutzniveau oder eine umfassende Anonymisierung für sich beanspruchen werden durch die Interoperabilitätsvorgaben dazu gezwungen, sich für andere (Konkurrenz-) Dienste zu öffnen, die womöglich einen niedrigeren Standard aufweisen. Hier entstehen dann neue Angriffsflächen für Hacker und für den Datenmissbrauch. 

Insofern bleibt festzuhalten: Die Forderung nach mehr Interoperabilität ist eine wesentlich Stellschraube auf dem Weg hin zu einer florierenden Datenwirtschaft. Ihre genaue Ausgestaltung und ihr Anwendungsumfang sollte indes zur Vermeidung von Sicherheitsrisiken und übermäßigen Belastungen der Anbieter in den nächsten Wochen und Monaten noch intensiv diskutiert werden.

Wenn das „Potential von Daten“ verbessert, die Datenwirtschaft gestärkt und zugunsten von Verbrauchern und alternativen Anbietern der Wechsel zwischen diversen Services vereinfacht werden soll, kommt es vor allem auf eines an: Interoperabilität, also die Fähigkeit verschiedener digitaler Produkte (Cloud, Anwendungen, Komponenten, …) miteinander zu interagieren, jenseits der üblicherweise erwarteten und zur Verwendung notwendigen Kompatibilität z.B. mit dem Betriebssystem des Smartphones – sei es der einfache Wechsel zwischen zwei Cloud-Anbietern, von einer zur anderen Social Media Plattform oder auch die Austauschfähigkeit zwischen diversen Signaturangeboten. 

Es verwundert angesichts dessen nicht, dass der Data Act dem Thema ein eigenes Kapitel VIII widmet: „Der Datenaustausch innerhalb und zwischen Wirtschaftszweigen erfordert einen Interoperabilitätsrahmen mit verfahrenstechnischen und legislativen Maßnahmen zur Stärkung des Vertrauens und zur Steigerung der Effizienz.“ (COM(2022) 68 final, S. 3). 

Einen allgemeinen Überblick über alle Kapitel des Data Act finden Sie hier:

Data Act: Von der Datenbereitstellung, fairen Vertragsregelungen und Interoperabilität

Der Überblick: Ziel und Anwendungsbereich 

Kapitel VIII stellt in Art. 28-30 Data Act Entwurf grundlegende Interoperabilitäts-Anforderungen die es zukünftig einzuhalten gilt, um damit einen weitgehenden und einfachen Datenaustausch möglich zu machen. Dies soll Hindernisse für die gemeinsame Nutzung von Daten über gemeinsame Datenräume hinweg und zwischen diversen Produkten beseitigen. Im Fokus stehen dabei Datenräume („data spaces“, also etwa Cloud-Angebote), Datenverarbeitungsdienste und intelligente Verträge („smart contracts“).

„Interoperabilität“ bezeichnet die Fähigkeit verschiedener Systeme, Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen (Art. 2 Nr. 19). Die Kommission sieht hierin eine wesentliche Voraussetzung für eine offene Innovation in der europäischen Datenwirtschaft. Da marktgesteuerte Prozesse nach Ansicht der Kommission nicht dazu in der Lage sind, technische Standards oder Normen festzulegen, die eine wirksame Cloud-Interoperabilität auf PaaS- (Platform-as-a-Service) und SaaS- (Software-as-a-Service) Modellen ermöglichen, soll der Data Act Normung und Standardisierung vorantreiben (Erwägungsgrund 76).

All dies ergänzt und stützt die Datenportabilitätsvorgaben im Data Act, zu denen Sie hier weitere Erläuterungen finden:

Wechsel zwischen Datenverarbeitungsdiensten: Datenportabilität

Die Interoperabilitätsvorgaben gehen indes noch weit darüber hinaus, vom Adressatenkreis und auch inhaltlich:

Die Adressaten

Adressiert werden drei verschiedene Anbieter digitaler Produkte:

  • Betreiber von Datenräumen („data spaces“) in Art. 28, also Inhaber von Beständen unterschiedlichster Datenansammlungen. Ein solcher Datenraum wird aktuell im Gesundheitswesen auf EU-Ebene vorangetrieben, der EHDS.
  • Anbieter von Datenverarbeitungsdiensten in Art. 29: Dies sind alle digitalen Dienstleistungen wie Cloud-Anbieter, die Zugang zu Speicherplatz u.ä. – in der Verordnungssprache zu einem „skalierbaren und elastischen Pool gemeinsam nutzbarer, zentralisierter, verteilter oder hochgradig verteilter Rechenressourcen“ eröffnen und die nicht Online-Inhaltedienste sind (ausgenommen sind also z.B. Webcasting oder video-on-demand Angebote). 
  • Anbieter von Anwendungen, in denen intelligente Verträge („smart contracts“) verwendet werden in Art. 30. Als „intelligente Verträge“ bezeichnet der Data Act in einem elektronischen Vorgangsregistersystem gespeicherte Computerprogramme, die das Ergebnis der Programmausführung aufzeichnen und darüber Transaktionen zu vorab festgelegten Bedingungen ausführen und abwickeln. 

Der Inhalt: Was ist zu tun?

All diese Anbieter müssen die im Data Act festgelegten Mindestanforderungen an ihre Interoperabilität mit anderen Angeboten bzw. für ihre Nutzung einhalten. Im Ausgangspunkt bleiben die Anforderungen abstrakt, um den Anwendungsbereich auf möglichst viele technische und vertragliche Konstellationen zu erstrecken und entwicklungsoffen zu bleiben. In ihren praktischen Auswirkungen sind sie indes enorm:  

  • Datenräume [Art. 28]

Die Betreiber von Datenräumen müssen die folgenden Anforderungen erfüllen, um die Interoperabilität von Daten und Datennutzungsmechanismen zu verbessern:

  • Bestimmtheit des Inhalts eines Datensatzes, Nutzungsbeschränkungen, Lizenzen, Methodik der Datenerhebung und Datenqualität, damit der Datenempfänger die Daten unkompliziert finden, darauf zugreifen und nutzen kann;
  • Beschreibung von Datenstrukturen, Datenformaten, Vokabular, Klassifikationsschemata, Taxonomien und Codelisten in einer öffentlich zugänglichen und konsistenten Weise;
  • die technischen Mittel für den Datenzugriff (z.B. Programmierschnittstellen und deren Nutzungsbedingungen) müssen ausreichend beschrieben werden, um den automatischen Zugang und die automatische Übermittlung von Datenzwischen den Parteien kontinuierlich in einem maschinenlesbaren Format zu ermöglichen;
  • die Mittel, um Interoperabilität von „smart contracts“ innerhalb ihrer Diensten und Tätigkeiten zu ermöglichen, sollen bereitgestellt werden.

Wo es keine (ausreichenden) harmonisierten Standards gibt, um den geforderten Anforderungen gerecht zu werden, wird die Kommission dazu ermächtigt, entsprechende gemeinsame Vorgaben zu erlassen. Außerdem soll die Kommission „Leitlinien“ zur Festlegung von Interoperabilitätsspezifikationen erlassen, die einen gemeinsamen europäischen Datenraum ermöglichen. Hierzu gehören z.B. technische Standards zur Umsetzung rechtlicher Vorschriften und Vereinbarung zwischen Parteien, die die gemeinsame Datennutzung fördern

  • Datenverarbeitungsdienste [Art. 29]

Für Datenverarbeitungsdienste wählt die Kommission einen anderen Regelungsansatz: Sie legt nicht fest, welche Mindestanforderungen Anbieter einhalten müssen, sondern definiert die Anforderungen an die zu entwickelnden Spezifikationen und Normen, die dann ihrerseits zum Maßstab werden. Vorgegeben wird für diese Interoperabilitätsspezifikationen und Normen für Datenverarbeitungsdienste wird, dass sie:

  • leistungsorientiert sind, um Interoperabilität zwischen Datenverarbeitungsdiensten desselben Typs zu erreichen;
  • die Portabilität digitaler Bestände zwischen verschiedenen Datenverarbeitungsdiensten desselben Typs verbessern und
  • die funktionale Gleichwertigkeit zwischen verschiedenen Datenverarbeitungsdiensten desselben Typs garantieren, soweit dies technisch machbar ist.

Insofern schreibt der Data Act-Entwurf vor, dass die Interoperabilitätsspezifikationen für Datenverarbeitungsdienste verschiedene Cloud-Aspekte adressieren soll. Damit sollen sichergestellt sein, dass Cloud-anwendungsspezifische Aspekte in Bezug auf Interoperabilität und Datenportabilität Berücksichtigung finden. Der Data Act nennt explizit syntaktische, verhaltensbezogene oder strategische Aspekte (Art. 29 Nr. 2).

  • „smart contracts“ [Art. 30]

Verbessert werden soll durch den Data Act auch die Marktgängigkeit intelligenter Verträge, der „smart contracts“. Dafür werden Anforderungen definiert, die Anbieter von Anwendungen mit intelligenten Verträgen oder diejenigen, die diese unternehmerisch für Dritte bereitstellen, einzuhalten haben. Um die Integrität von „smart contracts“ zu gewährleisten, schreibt der Data Act-Entwurf die folgenden Anforderungen vor: 

  • Eine ausreichend konzipierte Robustheit, um Funktionsfehler und Manipulation durch Dritte zu vermeiden;
  • Mechanismen, um eine sichere Beendigung oder Unterbrechung von Transaktionen zu gewährleisten, um (versehentliche) Ausführungen zu verhindern oder zurückzusetzen;
  • eine Datenarchivierung- und Kontinuität, um die Transaktionsdaten und Programmierung aufzuzeichnen und überprüfbar zu machen sowie
  • eine strenge Zugriffskontrolle auf die Bedienungselemente. 

Darüber hinaus ist auch hier die Festlegung harmonisierter Standards und Normen vorgesehen, durch welche die allgemeinen Interoperabilitäts-Anforderungen jeweils weiter konkretisiert werden sollen. 

Ausblick: Bedeutung für die Praxis 

Interoperable Dienste eröffnen deutlich verbesserte Nutzungsmöglichkeiten und eine echte Datenwirtschaft ohne vermeidbar LockIn-Effekte und mit deutlich erweiterter Skalierbarkeit. Die beschriebenen Neuregelungen haben insofern enorme praktische Wirkung auf sämtliche der betroffenen Dienste und stellen Anbieter vor ganz erhebliche Herausforderungen.

Die Kommission verspricht sich von der Etablierung einer grundlegenden Interoperabilität die Beseitigung von Barrieren, um eine effektive und gemeinsame Datennutzung zu ermöglichen. Insbesondere sollen Verbraucher und andere Datennutzer dazu befähigt werden, zwischen verschiedenen Anwendungen unkompliziert und sicher wechseln zu können. Der tatsächliche Nutzen ist jedoch umstritten, denn ein umfassender Datenaustausch geht zwingend mit der Öffnung von Datenbanken zu gemeinsamen Schnittstellen einher. Dies wiederum kann Sicherheitsrisiken verursachen, wie diese Aktuell zum Digital Market Act hinreichend virulent diskutiert werden. Dienste, die gerade eine besondere Verschlüsselung, ein hohes Datenschutzniveau oder eine umfassende Anonymisierung für sich beanspruchen werden durch die Interoperabilitätsvorgaben dazu gezwungen, sich für andere (Konkurrenz-) Dienste zu öffnen, die womöglich einen niedrigeren Standard aufweisen. Hier entstehen dann neue Angriffsflächen für Hacker und für den Datenmissbrauch. 

Insofern bleibt festzuhalten: Die Forderung nach mehr Interoperabilität ist eine wesentlich Stellschraube auf dem Weg hin zu einer florierenden Datenwirtschaft. Ihre genaue Ausgestaltung und ihr Anwendungsumfang sollte indes zur Vermeidung von Sicherheitsrisiken und übermäßigen Belastungen der Anbieter in den nächsten Wochen und Monaten noch intensiv diskutiert werden.