Legt den Grundstein für Data Management Systeme, welche die Bedingungen des EU Data Acts erfüllen.
Hintergrund
Der Start einer neuen Europäischen Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und einer faire Datennutzung – kurz Data Act – ist mit Anfang 2024 geplant. Der Data Act legt Regeln fest, was die Nutzung von Daten betrifft, die von Internet of Things (IoT) Geräten erzeugt werden. Der Begriff „IoT“ ist in diesem Fall weit gefasst und schließt sowohl private Nutzungsformen (Smart Home Geräte wie Staubsaugroboter, Glühbirne, div. Tracker, etc.) als auch Industriegeräte (intelligente Maschinen) ein. Neben dem Recht, Auskunft über die Datennutzung der IoT Geräte oder sogar Zugriff auf die Daten selbst zu erhalten, ermächtigt der Data Act auch dazu Unternehmen (Data Holder) anzuweisen, die eigenen Daten Dritten zur Verfügung zu stellen. Zum Beispiel könnten Bauern, deren Traktor Informationen über Pestizideinsatz und Aussaat sammelt, diese Daten der Landwirtschaftskammer zugänglich machen. Die Kammer kann auf diese Weise ihren Dokumentations- und Berichtspflichten nachkommen und einen ressourcenschonenden und nachhaltigen Einsatz von Chemikalien gezielt fördern.
Der Data Act gibt also den Nutzer*innen die Hoheit über ihre Daten und erschließt gleichzeitig neue Möglichkeiten der Datennutzung im Bereich IoT.
Projektinhalt
Derzeit gibt es noch kein ausgereiftes Konzept, mit dem sich die Forderungen im Data Act umsetzen lassen. Die beste Annäherung an eine tragfähige Lösung stellen Data Spaces dar. Dabei handelt sich um dezentrale Datenplattformen, die es unterschiedlichen Teilnehmer*innen ermöglichen, ihre Daten zu teilen ohne dabei die Souveränität über diese Daten aufzugeben. Die derzeit verfügbaren Data Space Konzepte beziehen jedoch (End-)Nutzer*innen nicht ein und haben auch keine angemessene Antwort darauf, wie der Echtzeit-Austausch von großen Mengen an IoT-Daten zu handhaben wäre. Ab 2024 (mit einer Übergangsfrist von 18 Monaten) sind die Unternehmen jedoch verpflichtet, auf Anfragen von Nutzer*innen reagieren können. In diesem Projekt schaffen wir Abhilfe und entwickeln gemeinsam mit Unternehmen eine prototypische Lösung, die den oben genannten Anforderungen und dem Regelwerk des Data Acts gerecht wird.
Ziele
APOCRAT bietet eine Consent Management Lösungen für vernetzte Geräte (IoT), welche den neuesten rechtlichen Rahmenbedingungen genügen. In dem vorliegenden Projekt bemühen wir uns um eine Lösung, die den Forderungen des Data Acts gerecht wird. Dafür gilt es folgende Teilziele zu erreichen:
- Identifikation von Use Cases gemeinsam mit Unternehmen und Endnutzer*innen
- Analyse der Auswirkungen des Data Acts auf die identifizierten Use Cases
- Erstellung eines Anforderungskatalogs zur Umsetzung des Data Acts
- Entwicklung eines Konzepts für einen Prototypen sowie Erstellung eines Prototypen
- Evaluierung des Prototypens gemeinsam mit Unternehmen und Endnutzer*innen anhand des Anforderungskatalogs
Zielgruppen
Zielgruppen des Projektes sind Nutzer*innen von IoT Anwendungen aus den unterschiedlichsten Sektoren (das schließt natürliche und juristische Personen ein), Anbieter*innen von IoT Geräten für den private Gebrauch (Smart Home) und für die Industrie, sowie weitere Personen und Unternehmen aus den unterschiedlichsten Branchen, die von Regelungen des Data Acts betroffen sind/sein werden.
Ergebnis
Der in dem Projekt entwickelte Prototyp soll die Anforderungen des Data Acts und damit auch folgende Punkte erfüllen:
- Integration der (End-)Nutzer*innen: Das hier entwickelte System soll beides abdecken: Technikaffinen Nutzer*innen entgegenkommen, aber auch technisch weniger versierten Personen einen Überblick über die Art und Menge der gesammelten Daten bieten.
- Kontinuierlicher, automatisierter Austausch von IoT-Daten und Entwicklung einer nicht-geschlossenen Lösung: Der Data Act erfordert eine Echtzeit- bzw. kontinuierliche Übermittlung der gesammelten Daten an die Nutzer*innen sowie an berechtigte Dritte. Es soll daher kein manueller Upload von Daten erfolgen, sondern ein automatisierter Zugang auf die Daten durch den gewünschten Personenkreis ermöglicht werden. Zudem soll die Nutzung unseres System für Drittparteien einfach und komfortabel sein sowie der Aufwand für eine Anbindung möglichst gering sein.
- Starke Integration von Privacy und besonderer Fokus auf Datenschutz: Der Data Act steht nicht für sich allein, sondern muss mit weiteren Rechtsvorschriften wie dem TTDSG, der DSGVO oder dem Data Governance Act im Einklang sein. Das und der Datenschutz erfahren daher besondere Berücksichtigung.
Sie wollen mehr wissen? Fragen Sie nach!
Forschungsgruppe Data Intelligence
Institut für IT Sicherheitsforschung
FH-Dozent
Department Informatik und Security
- APOCRAT (Projektleitung)