Der EU Data Act regelt den Datenaustausch zwischen Unternehmen und Behörden neu. Er stellt sicher, dass lebensrettende Informationen im Katastrophenschutz schnell und effizient bereitstehen, ohne die Rechte von Bürgern oder Unternehmen zu verletzen. Datenräume auf Basis von Gaia-X bieten den technischen Rahmen für die Umsetzung und gewährleisten Vertrauen und Rechtskonformität bei der Datennutzung. Dieser Beitrag beleuchtet die Grundlagen dieses Ansatzes: Wann und wie Behörden Daten anfordern, wie Unternehmen darauf reagieren und wie Datenräume dabei unterstützen.

Katastrophenschutz: Daten als Schlüssel zur effektiven Reaktion

Im modernen Katastrophenschutz sind Daten entscheidend: Flusspegelstände, Infektionszahlen und Luftbilder von Waldbrandgebieten, kombiniert mit Einsatzdaten, erlauben präzise Prognosen, Simulationen von Katastrophenszenarien und die Entwicklung von Reaktionsstrategien. Einige Daten, wie Niederschlagsmengen, sind öffentlich zugreifbar. In anderen Fällen benötigt man vertrauliche Daten, etwa von Privatunternehmen.

Bisher haben Unternehmen und Behörden für den Datenaustausch wenige festgestellte Vorgänge. Dabei müssen die Behörden zunächst rechtfertigen, welche Daten sie warum und in welcher Form benötigen. Diese Klärungen kosten jedoch Zeit, die in Krisen besonders knapp ist.

Die EU-Datenverordnung (Data Act, DA) legt nun klare Regeln für den Datenaustausch zwischen Behörden und Unternehmen in Fällen von außergewöhnlicher Notwendigkeit fest. Das Kernprinzip: Behörden dürfen von Unternehmen die nötigen Daten zur Bewältigung öffentlicher Notfälle anfordern – und die Unternehmen müssen diese Daten bereitstellen oder ihre Weigerung begründen.

Zur Veranschaulichung betrachten wir die fiktive Stadt „Steinbach“ und ihre Zusammenarbeit mit zwei Unternehmen. Der Stromversorger „Enervolt“ verfügt über Daten zum Energieverbrauch. Der Mobilfunkanbieter „SmartFunk“ erfasst verschiedene Standortdaten seiner Nutzer:innen. Diese personenbezogenen Daten erfordern besonderen Schutz. Der Data Act betrifft allerdings Unternehmen aller Branchen.

Data Act: Behörden können nötige Daten anfordern

Wenn die Stadt Steinbach die nötigen Daten auf dem Markt oder durch andere Vereinbarungen erhalten kann, muss sie dies laut Data Act tun. Haben Enervolt und SmartFunk die Daten bisher nicht bereitgestellt, erlaubt der Data Act der Stadt, sie anzufordern.

Bei einem schwerfallenden Sturm wären zum Beispiel die Daten von Enervolt besonders nützlich. Sie helfen, Stromausfälle zu erkennen und die Versorgung dynamisch zu gestalten. So lassen sich die am stärksten betroffenen Gebiete identifizieren, die Effizienz steigern und weitere Ausfälle begrenzen. Außerdem, da es sich nicht um personenbezogene Daten handelt, stehen dem Antrag wenig Hindernisse im Wege.

SmartFunk hingegen erfasst personenbezogene Daten. Laut Data Act muss Steinbach begründen, warum andere Daten der Zwecke nicht genügen. Bei einer Pandemie könnten SmartFunk-Daten tatsächlich unverzichtbar sein. Während die COVID-19 Krise zeigten aggregierte, anonymisierte Standortdaten von Mobilfunkanbietern, wie sich die Mobilität der Bevölkerung auf die Virusausbreitung auswirkt. So konnten Behörden frühzeitig vor möglichen Ansteckungswellen warnen.

So funktioniert der Antrag

Sobald der Datenbedarf feststeht, stellt die Stadt Steinbach einen Antrag auf Daten gemäß Artikel 14 des Data Acts. Dieser Antrag muss schriftlich vorliegen und wird in der Regel veröffentlicht. Die Stadt muss dabei u.a. den Zweck der Datennutzung, die Frist für die Datenlieferung, die Dauer des Zugriffs und den Zeitpunkt der Datenlöschung sowie die Dritten (öffentliche und private), mit denen sie die Daten teilen wird, verpflichtend angeben.

Um die Last auf Unternehmen zu mindern, dürfen dieselben Daten nicht mehrmals von unterschiedlichen Behörden angefordert werden (nach dem „Once only“-Prinzip). Steinbach kann diese Daten an Dritte weitergeben, sofern diese in der Anfrage angegeben sind. Dadurch kann sie Smart Services oder Analysen von Drittanbietern nutzen, ohne eigene Tools entwickeln zu müssen.

Unternehmen in der Pflicht: Datenanträge prüfen und erfüllen

Beim Eintreffen des Antrags müssen die Unternehmen prüfen, ob er angemessen und konform ist: Wurden nur relevante Daten angefordert? Entspricht die angeforderte Granularität dem angegebenen Zweck? Die Beweislast verlagert sich daher von der anfragenden Behörde zu den Unternehmen, das sich weigern will.

Im Beispiel des Sturms in Steinbach könnte SmartFunk die Anfrage nach personenbezogenen Daten als unangemessen sehen. SmartFunk hat dann fünf Arbeitstage Zeit, um Änderungen zu beantragen oder den Antrag abzulehnen. Enervolt hingegen hält den Antrag für angemessen und muss ihm nach dem Data Act „unverzüglich nachkommen“. Die Stadt Steinbach und alle Dritten, mit denen sie Daten austauscht, sind jedoch verpflichtet, die Integrität und Sicherheit aller erhaltenen Daten zu gewährleisten.

Im Pandemie-Beispiel genehmigt SmartFunk den Antrag und stellt die angeforderten Standortdaten seiner Nutzer:innen bereit. Der Data Act fordert jedoch, diese Daten zu aggregieren, zu anonymisieren oder zu pseudonymisieren, bevor sie zugänglich gemacht werden. Die Stadt Steinbach muss diese sensiblen Daten besonders schützen.

Die Unternehmen stellen die Daten kostenlos bereit, können aber eine öffentliche Anerkennung für ihren Beitrag verlangen. Nur Klein- und Kleinstunternehmen dürfen eine Gegenleistung für organisatorische und technische Kosten, zzgl. eine „angemessene Marge“ fordern.

Rechtskonforme Datennutzung: Wie Datenräume Verwaltung und Unternehmen entlasten

Um diesen Vorschriften zu entsprechen, braucht es eine sichere, transparente und rechtskonforme technische Lösung. Eigene Lösungen zu entwickeln oder zu beschaffen, kostet Zeit und Geld und garantiert keine Interoperabilität. Es ist also nicht selbstverständlich, dass die Software der Stadt Steinbach, ihrer Stadtwerke, der Nachbarstädte sowie die von Enervolt und SmartFunk (und möglicherweise Dritten) alle miteinander kompatibel sind. Zwischen Lösungen zu überbrücken ist ineffizient und enorm aufwändig. Daten innerhalb eines Datenraums zu teilen, löst viele dieser Probleme und wahrt die Autonomie und Rechte der Parteien.

Datenräume sichern die Rechtskonformität, wenn die Datennutzungsregeln gesetzeskonform sind. Auf Datenraumebene kann man festlegen, welche Akteure unter welchen Bedingungen auf Daten zugreifen dürfen, etwa nach einem Data Act-Antrag. Bei neuen Vorschriften bleibt der Datenaustausch konform, wenn man die Regeln aktualisiert. Vorab vereinbarte Richtlinien beschleunigen die Erstellung, Prüfung und Genehmigung von Anträgen. Das entlastet Verwaltung und Unternehmen erheblich.

Datenräume und Datentreuhänder: Vertrauen für Behörden und Unternehmen

Je nach Bedarf lassen sich zusätzliche Datenquellen anschließen, auch wenn sie nicht am Datenraum teilnehmen. Zum Beispiel durch Datentreuhänder, die Daten oder Rechte an Daten im Auftrag anderer verwalten und schützen. Datentreuhänder wie der des Förderprojekts EuroDaT bieten mehrere nützliche Funktionen für den Katastrophenschutz: Sie aggregieren Daten (z.B. aus verschiedenen Unternehmen), anonymisieren und pseudonymisieren personenbezogene Daten, stellen geschützte Rechnungsumgebungen aus und ermöglichen „Compute to data“. Dabei werden sensible Daten in eine geschützte Umgebung übertragen, wo sie verarbeitet werden. Nur die Ergebnisse werden weitergegeben.

In Katastrophenfällen sind Transparenz und Vertrauen wesentlich, da jeder Verifizierungs- oder Authentifizierungsschritt Zeit und Mühe kostet, die besser in die Krisenbewältigung fließen sollten. Behörden müssen den Datenquellen vertrauen können. Ebenso müssen Dateninhaber, insbesondere private Unternehmen, sicherstellen, wer tatsächlich auf die Daten zugreift. Gaia-X-konforme Datenräume bieten hier eine robuste Lösung mit einem integrierten Trust Framework und verifizierten, souveränen Identitäten, die automatisch die Integrität und Vertrauenswürdigkeit von Daten und Akteuren sichern.

Verfasst von Dr. Karl Wienand