Der EU Data Act

Seit dem 12. September 2025 ist er wieder ein Stück weiter in Kraft. Es lohnt sich, den genauen Titel des 71 DIN-A-4-Seiten langen Dokuments anzusehen:

Klingt gut, hier das Wichtigste in Kürze:

  • Recht der Nutzer, alle durch ihre vernetzten Geräte erzeugten Daten beim jeweiligen Datenhalter einzusehen,
  • diese Daten mit Dritten teilen zu dürfen oder vom Datenhalter verlangen zu dürfen, diese Teilung zu ermöglichen,
  • die Verpflichting, faire, transparente und nicht diskriminierende Verträge abzuschließen,
  • den Wechsel zwischen Datenhaltern erleichtern oder Schnittstellen zu schaffen, die den Transport oder Export der Daten ermöglichen und den Bürgern kurze Kündigungsfristen zu ermöglichen,
  • in Ausnahmefällen wie Naturkatastrophen oder Pandemien den Zugriff für Behörden zu erlauben,
  • Schutz vor unberechtigem Zugriff von Drittstaaten außerhalb der EU zu gewährleisten,
  • und die Verpflichtung der EU-Mitgliedstaaten, Behörden für Verordnungen und Verhängung von Strafen einzurichten.

Wieder 119 erwogene Gründe auf 31 Seiten, bis das Werk auf den restlichen 40 Seiten endlich zu Potte kommt. Wenn ich das als Entwickler von kleinen bescheidenen Projekten für real existierende nicht supergroße Firmen lese, denke ich, hoppla, da muss ich erst meine Anwaltsabteilung fragen. Die habe ich aber nicht. Und ich darf im Regen stehen bleiben.

Man hätte sich über ein paar praktische Vorschriften gefreut, z.B.

  • dem Datendiebstahl via Cookies ein Ende zu setzen, indem man nur erlaubt hätte, das tun zu dürfen, was für den bloßen Kontakt zwischen mir als Benutzer und dem Server des Anbieters erforderlich ist, um die Verbindung aufrecht zu erhalten und alles andere erst einmal per Default zu verbieten, hätte die Diskreditierung des Datenschutzes als Benutzerbelästigung durch ermüdendes Herumklickenmüssen unterbunden,
  • den Weiterverkauf von Benutzerdaten an Dritte zu verbieten oder zumindest drastisch zu erschweren, damit wir davon befreit werden, nie wissen zu können, welchen Heerscharen von Datensammlern wir mit einem eiligen Klick die Fortsetzung des Benutzerdatenverscherbelns möglich gemacht haben,
  • das Tracking der Benutzer mit beweglichen Geräten wie Smartphones zu untersagen, damit wir in Ruhe gelassen werden, auf Schritt und Tritt mit weiterer Werbung belästigt zu werden oder es für konsumbegeisterte Nutzer an eine ausdrückliche Erlaubnis zu binden, aber nur im konkreten Einzelfall, ohe Erlaubnis für die Werbetreibenden, die Benutzerdaten an andere „befreundende“ Anbieter weiterzugeben.
  • Das italienische Parlament verabschiedete im September 2025 mit großer Mehrheit ein Gesetz gegen die Verbreitung gefälschter Aufnahmen und Videos, die mit Künstlicher Intelligenz erstellt wurden (Fake-Videos). Geschäftsleuten und Privatpersonen drohen dort bis zu fünf Jahren Gefängnis, wenn sie solche Fotos und Videos in Umlauf bringen, ohne die Erlaubnis der gezeigten Personen zu haben. Auf vergleichbare Initiativen der EU zum Schutz ihrer Bürger durfte man vergebens hoffen.
  • Großmundig heißt es zwar, dass ein Drittstaatenzugriff, der gegen EU-Recht oder nationales Recht verstößt, insbesondere bezüglich Grundrechten, Sicherheit oder nationalem Interesse, nicht durchgeführt werden darf (Recitals 101 EU Data Act). Leider werden die EU-Bürger im Abwägungsdickicht zwischen Ermessensspielräumen und Verhältnismäßigkeit allein gelassen. Wir wissen, inzwischen an Eides statt vor dem französischen Senat zugegeben, dass es diesen Schutz nicht gibt.

EU bleibt EU, wir haben wieder ein Gesetz, Politiker haben ihre Schuldigkeit getan, doch die Differenz zwischen Recht haben und Recht bekommen wird immer größer. Aber neue Behörden werden aufgebaut. Die Bürokratie darf wachsen.

Karl Schmitz • September 2025