Berlin, 2022-08-18
Why and how the Data Act should be a bit more revolutionary
Tags:
GDPR
governance

First, the good news: The Data Act could make a huge difference. It is a big chance to contribute to a legal framework to allow for data to be used differently from resources as we know them. Data does not need to be owned by one party, but different approaches such as data commons or data trusts are possible. We only need the courage to set up the rules accordingly (and some practice).

Now the bad news: The draft Data Act is not a revolution at all, but mainly a description of the status quo with a little bit of tinkering. The European Commission got lost in details and, while the objectives of fairness and innovation promise great change, the draft makes too tiny steps in the right direction while enshrining many aspects of how the data economy is run right now, in particular the powerful position of factual data holders.

Everybody but the data holders would benefit from a bolder approach to using the legislative momentum in order to enable a different economic approach to data. Data ownership is meant to be dead, but we still do not know how to fill the vacuum: What would the world look like without a data collector having, by default, full control over the data, a well-familiar concept from non-digital assets? The Data Act only hesistantly breaks with this paradigm by giving other parties certain rights to that data if very specific conditions are fulfilled. These conditions are narrow, too narrow to enable a paradigm shift away from the data holder being the default exclusive data owner.

Make access more meaningful

There are various limitations that strongly restrict data access by device users and third parties and that should be scrapped:

  • no data access to develop competing products: innovation incentives are overstated (and mostly hypothetical)

Article 4(4) stipulates that users may not use the data to produce a competing product (Article 6(2e) does the same for third parties that are granted access on behalf of the user). This is based on the intention "to avoid undermining the investment incentives for the type of product from which the data are obtained" (Recital 28) but it is far from clear that this would happen at all as a consequence of mere data sharing. One of the key objectives of the Data Act is to stimulate competition, but somehow the European Commission believes that this is not feasible (or desirable without overriding the established competition law doctrine) for the devices in scope of the regulation (IoT devices), only for their after markets. The point about investment incentives being destroyed by data access comes up frequently in arguments against data regulation, but no clear evidence exists that data access really has a tangible impact on these incentives in practice. A lot of data is collected as a by-product which would continue to happen irrespective of data access. It is plausible that for some data, imposing data access could move the needle from "I have an incentive to develop an innovative product" to "I don't have that incentive", but that potentially negative effect could be hugely outweighed by the benefits of sharing the data that continues to be collected. This is pure guesswork: Ironically, there is no empirical data on data incentives because there is no access to conduct such a study. Besides, market definition is chronically difficult in digital markets and leaves the door open for many arguments why what seems like an after market product may in fact be a competing product. Could we just give access to data also for the development of a competing product?

  • no data access to inferred data: raw data is often meaningless

Recital 14 clarifies that information derived or inferred from data is not within the scope of the Data Act. This appears to strongly underestimate the need for interpretation of e.g. sensor data to derive useful information. Raw sensor signals will often be completely useless and manufacturers can argue that derived insights such as room temperature, velocity or volume of a sound are derived information outside of scope. There might be a rationale for protecting certain information that is the product of highly sensitive algorithms, but not for protecting inferred data in its entirety. The Commission does not clarify its reasoning but if it, again, wishes to protect innovation incentives, this would again be hypothetical.

  • no data access for gatekeepers: look out for unintended second-order side effects

Articles 5(2) and 6(2d) stipulate that no data may be passed on to gatekeepers (GAFAM and similar), the addressees of the Digital Markets Act. The intention is to avoid a first-order side effect: that gatekeepers grow stronger as a consequence of the Data Act because they know best how to put data access to use. Nonetheless, the provision invites a second-order unintended effect by giving consumers a reason to purchase their IoT ecosystem from one gatekeeper instead of mixing with other, smaller providers. Consumers know that, in compliance with the draft Data Act, they would be unable to share data from, for example, their smart meter or smart lighting with their Google Nest or Amazon Alexa ecosystem. So far, smaller providers aim to offer interoperability with the larger ecosystems; however, that would be limited by the DA. Consumers face three options:

  • they continue to mix providers, but with more effort required to monitor and control their IoT system;
  • they stop mixing and buy everything from one single gatekeeper; or
  • they combine providers with mainly non-gatekeeper firms that would need to be interoperable. In practice, this is likely to be difficult.

Compared to now, mixing becomes more difficult, so it is well possible that the Data Act can increase the share of consumers who build an ecosystem exclusively with devices from one gatekeeper. In any case, it further adds complexity to what should be an overarching aim to grant data access and only restrict it where this is clearly beneficial.

There is a long list of additional criticism, including that data holders are allowed to limit themselves to providing in-situ access only, the lack of a clear prohibition of stricter rules at the national level (for databases), the insufficient definitions, hierarchies and justifications, the high degree of complexity and lack of focus (how on earth did smart contracts get in there?!). Mostof these are valid and important. But just as the Commission, it is easy to get lost in the detail.

The Data Act could have much more impact if it started out from assuming that data access should be granted UNLESS there are tangible, welfare-enhacing reasons not to do so. Instead, it follows the opposite approach that data remains with the data holder UNLESS there are tangible, welfare-enhancing reasons to grant access. In theory, one should end up roughly in the same spot. In practice, however, we know that there is a lot of grey on the spectrum and much more data will remain a private resource.

Stop pretending it is consumer policy

The draft Data Act mentions "consumer" 40 times. It could be understood to be consumer-oriented policy. That would be wrong. Unfortunately, the draft Data Act fails to bring about any tangible effects for consumers. It requires a user-led process (whereby the user needs to direct the data holder to provide access to a third party) that repeats flaws that we should have learned from the General Data ProtectionRegulation (GDPR).

The draft Data Act posits as a counterpart to the data holder the user of the device from which the data originates. This may be a business, but often will be a consumer. We already know that giving consumers formal rights does not necessarily lead to tangible empowerment. Instead, consent fatigue and choice overload often render rights conferred by the GDPR useless. Adding another set of rights will not change this. Besides, individual consumers will not benefit from data access: who will analyse their own smart meter usage data? It is only from the aggregation of data points that useful analysis becomes possible. Business customers might have a large enough number of devices to produce sensible insights from their data alone, but for consumers this is not the case.

There is still a very much ongoing debate about how to empower consumers more effectively (such as on delegation of data rights, collective representation and others). One might well argue that it is too early for the Data Act to figure out the best option for consumers. But it should neither build on and thereby enshrine past mistakes nor should it pretend to strengthen consumers. It could have chosen one of two options: a) work hard on strengthening consumer interests or b) wait until a preferred approach evolves from the debate. Right now, the risk is huge that the Data Act is a wasted chance for consumers, with no comparable opportunities coming up.

back to library
About Us
We are a diverse group of specialists with academic and entrepreneurial backgrounds that are driven by a shared vision: to solve the current data sharing dilemma for the better. Please find our full founding vision in our manifesto.
For Members
Do you want to shape how data is being shared in a post-platform economy with us?

We welcome any individual with any background.
For Universities
Do you want to bridge the gap between your research and various industries?

We help you to connect to companies and to turn your research into action.
For Companies
Do you want to evaluate the potential if you start sharing your data with other companies in your ecosystem?

We help you to define a ecosystem strategy, to connect with other companies and to gain significant efficiency gains by sharing your data with others.
Please feel free to get in touch!
contact
Imprint
SINE e.V.
c/o Martin Pompéry
Bredowstr. 35a, 10551 Berlin
Email: Vorstand@sine.foundation
Represented by the board (Vorstand): Aurel Stenzel, Martin Poméry, Aline Blankertz, Karina Buschsieweke.
Registration number: Applied
VAT number: Applied
Tax ID: Applied
Responsible for any journalistic and editorial content on this website according to 55 para.2 RStV: Aurel Stenzel, Görschstr. 14, 13187 Berlin.

Disclaimer: As a service provider, Sine e.V. is responsible for its own information, which is offered on this website, in accordance with section 3 para.1 and section 7 para.1 of the German Telemedia Act (TMG). However, Sine e.V. has no control over the content, the data protection guidelines or the practices of websites or services of third parties and assumes no responsibility for this (see § 8 TMG). Sine e.V. is neither directly nor indirectly responsible or liable for damage or loss caused by or in connection with the use or reliance on such available content, goods or services on such websites and services.

July 2020
privacy policy

Datenschutzerklärung Sine e.V.

§ 1 Information über die Erhebung personenbezogener Daten

(1) Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse und E-Mail-Adresse.

(2) Verantwortlicher gem. Art. 4 Abs.7 EU-Datenschutz-Grundverordnung (DS-GVO) ist SINE e.V., Görschstr. 14, 13187 Berlin, vorstand@sine.foundation, vertreten durch den Vorstand Aurel Stenzel, Aline Blankertz, Karina Buschsieweke, Martin Pompéry.

(3) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

(4) Bei Ihrer Kontaktaufnahme mit uns per E-Mail über das Kontaktformular (“Contact me Button”) werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer, sofern Sie uns diese mitteilen) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.

(5) Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für Werbezwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren.


§ 2 Ihre Rechte

(1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft nach Art. 15 DS-GVO: Sie können Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, die verarbeitet werden, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling zu verlangen;

• Recht auf Berichtigung gemäß Art. 16 DS-GVO: Sie können unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen;

• Recht auf Löschung gemäß Art. 17 DS-GVO: Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, es sei denn, die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen stehen dem entgegen;

• Recht auf Einschränkung gemäß Art. 18 DS-GVO: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber die Löschung ablehnen, wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt haben;  

• Recht auf Datenübertragbarkeit gemäß Art. 20 DS-GVO: Sie können verlangen, dass Sie Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format erhalten oder dass wir die Daten an einen anderen Verantwortlichen übermitteln.


• Recht auf Widerspruch gemäß Art. 21 DS-GVO: Sie können Widerspruch gegen die Verarbeitung erheben, sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 Satz 1 lit f. DS-GVO verarbeitet werden. Dazu müssen Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung ihrer personenbezogenen Daten, nachdem Sie ihn gegenüber uns ausgesprochen haben.


(2) Sie haben zudem das Recht, sich bei einer Datenschutzaufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. In unserem Fall ist das die Berliner Beauftragte für Datenschutz und Informationsfreiheit unter https://www.datenschutz-berlin.de/


§ 3 Erhebung personenbezogener Daten bei Besuch unserer Website

(1) Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen um einen reibungslosen Verbindungsaufbau und eine komfortable Nutzung der Website zu gewährleisten sowie zur Auswertung der Stabilität und Systemsicherheit. Rechtsgrundlage ist dabei Art. 6 Abs. 1 S. 1 lit. f DS-GVO. Unser berechtigtes Interesse basiert auf den genannten Zwecken zur Datenerhebung. IP-Adresse Datum und Uhrzeit der Anfrage   User Agent String, der den Browser oder das Betriebssystem für den Server identifiziertinstallierte Schriftarten MIME-TypenSprache  und Zeitzone der BrowsersoftwareSilverlight Dateninstallierte Plugins HTTP HeadersBildschirmauflösung
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.


(2) Zusätzlich nutzen wir das Produkt Plausible Analytics. Plausible verfolgt für uns die Messung der Nutzung unserer Website, allerdings ohne einen Cookie zu setzen und ohne personenbezogene Daten von den Nutzern zu erheben. Plausible Analytics erhebt allein folgende aggegrierte Daten: URL Referrer (d.h. Website, von der die Anforderung kommt) Browser (z.B. “Firefox”)Operating System (z.B. “iOS”)Device type (z.B. “Desktop” oder “Smartphone”)Land (z.B. “Deutschland”) Keiner der genannten Datenpunkte sind personenbezogen und keine Person kann durch die genannten Datenpunkte identifiziert werden. Für mehr Informationen über Plausible Analytics klicken Sie bitte hier.


§ 4 Erhebung personenbezogener Daten beim Online Beitrittsformular

Wenn Sie unserem Verein via unserem auf unserer Website zur Verfügung gestellten Online Beitrittsformular beitreten, erheben wir im Weiteren folgende Daten von Ihnen: Vor- und NachnameAdresseEinwilligung zur Datenverarbeitung hinsichtlich des BeitrittsFerne besteht die Möglichkeit in unseren Newsletterversand (siehe hierzu § 6) einzuwilligen. Die genannten Daten werden ausschließlich zum Zweck der Mitgliederverwaltung und -betreuung verarbeitet und bis zum Austritt eines Mitgliedes bei uns gespeichert bzw. solange es gesetzliche Aufbewahrungsfristen erfordern. Es erfolgt keine Weitergabe an Dritte.


§ 5 Weitergabe von Daten an Dritte

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben. Ferner in dem Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DS-GVO eine gesetzliche Verpflichtung besteht, sowie falls es gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DS-GVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den genannten Zwecken findet nicht statt.


§ 6 Newsletter

Auf unserer Webseite besteht die Möglichkeit einen kostenfreien Newsletter zu abonnieren. Dabei werden bei der Anmeldung zum Newsletter die Daten aus der Eingabemaske an uns übermittelt, d.h. ihre Emailadresse sowie ihr Vor- und Nachname.  
Wir verwenden zum Versand des Newsletters Cleverreach GmbH & Co. KG, mit welchen wir einen Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO geschlossen haben. Für den Versand des Newsletters verwenden wir das Double Opt-In-Verfahren. Dazu erhalten Sie den Newsletter erst, wenn Sie uns ausdrücklich bestätigt haben, dass Sie den Newsletter erhalten möchten. Es erfolgt im Zusammenhang mit der Datenverarbeitung für den Versand des Newsletters keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für den Versand des Newsletters verwendet. Die E-Mail-Adresse des Nutzers wird solange gespeichert, wie das Abonnement des Newsletters aktiv ist. Das Abonnement des Newsletters kann durch den betroffenen Nutzer jederzeit gekündigt werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link.Rechtsgrundlage für die Verarbeitung der Daten nach Anmeldung zum Newsletters durch den Nutzer ist bei Vorliegen einer Einwilligung des Nutzers Art. 6 Abs. 1 lit. a DS-GVO.


§ 7 Änderungen der Datenschutzerklärung

Wir behalten uns das Recht vor, unsere Datenschutzerklärung zu ändern falls dies aufgrund neuer Technologien oder neu eingesetzter Dienstleister notwendig sein sollte. Werden an dieser Datenschutzerklärung grundlegende Änderungen vorgenommen, geben wir diese auf unserer Website bekannt.