Data Act: das europäische Datengesetz kommt
Mit dem Data Act, einem wichtigen Grundpfeiler der europäischen Gesetzgebung zur Datenökonomie, soll eine dynamische Datenwirtschaft gefördert und die Nutzung von durch vernetzte Produkte entstehenden Daten erleichtert werden. In der Nacht zum 28.06.2023 einigten sich das EU-Parlament und der EU-Rat im Gesetzgebungsverfahren zum Data Act (DA-E; Deutsch: „Datengesetz“). Damit sind nur noch formale Schritte notwendig, bis die neue Verordnung in Kraft treten wird.
Wir stellen in diesem Beitrag den Data Act näher vor und zeigen, welche Auswirkungen er auf die europäische Datenökonomie haben kann. Klar ist: Unternehmen sollten sich bereits jetzt auf die neue Verordnung vorbereiten.
Hintergrund zum Data Act
Der Entwurf für das europäische Datengesetz wurde im Februar 2022 von der EU-Kommission vorgeschlagen und am 14.03.2023 vom EU-Parlament mit deutlicher Mehrheit angenommen. Am 24.03.2023 haben sich auch die Mitgliedstaaten im EU-Ministerrat auf eine Position geeinigt und befürworteten den vorlegten Entwurf im Grundsatz. Am 28.06.2023, kamen die Vertreter:innen der EU-Staaten im Rat mit dem Parlament zu einer politischen Einigung. Das Gesetzgebungsverfahren steht damit vor dem Abschluss, da lediglich die formelle Bestätigung des Data Acts durch Parlament und Rat steht noch ausstehen.
Im Kern soll durch den Data Act das Potenzial von Daten zum allgemeinen Nutzen weiter ausgeschöpft werden und der Tatsache entgegengewirkt werden, dass der Löwenanteil aller Daten bei einigen wenigen Unternehmen liegt. Gleichzeitig soll beim Umgang mit Daten für mehr Rechtssicherheit gesorgt werden und die Rechte der Nutzer:innen von vernetzten Produkten sollen gestärkt werden.
Regulierung von „vernetzten Produkten“
Zentraler Anwendungsbereich des Data Acts sind Vernetzte Produkte und damit verbundene Dienste (Art. 1 Nr. 1 a) DA-E). Bei vernetzten Produkten handelt es sich um Gegenstände, die Daten über ihre Nutzung oder Umgebung verarbeiten, zusätzlich über Mechanismen zur Datenübermittlung verfügen und nicht hauptsächlich Daten im Auftrag für andere speichern, verarbeiten oder übermitteln (Art. 2 Abs. 2 DA-E). Beispiele für solche vernetzten Produkte sind smarte Autos, Windräder oder IoT-Produkte wie digitale Sprachassistenten oder Fitnesstracker. Zudem zählen auch industrielle IoT-Produkte wie smarte Maschinen im B2B-Bereich dazu.
Die „damit verbundenen Dienste“ sind digitale Dienste, die die Funktionsfähigkeit eines Produkts erst ermöglichen (Art. 2 Abs. 3 DA-E). Gemeint ist beispielsweise die Software für smarte Uhren, Telefone, Autos etc. rein digitale Dienstleistungen sollen durch den Data Act nicht reguliert werden. Daher sind elektronische Kommunikationsdienste, wie z. B. Internetzugangsdienste wie Vodafone oder O2, keine verbundenen Dienste in diesem Sinne, Der Geltungsbereich ist auf physische Gegenstände mit einer digitalen Komponente begrenzt.
Wem gehören die Daten: Datenzugriffsrechte von Nutzer:innen
Durch den Data Act sollen die Nutzer:innen von vernetzten Produkten und Verbunddiensten selber auf ‚ihre‘ Daten zugreifen können. Innerhalb der Bestimmung des Data Acts über den Datenzugang und die Datennutzung im Verhältnis Business-to-Business (B2B) und Business-to-Consumer (B2C) ist geregelt, dass Nutzer:innen gegenüber den Dateninhabern Zugriffsmöglichkeiten auf die Daten erhalten sollen, die durch ihre Nutzung erzeugt werden (Art. 3 Nr. 1 DA-E). Als Dateninhaber definiert wird eine Person, die auf Daten aus dem vernetzten Produkt zugegriffen oder bei der Erbringung eines verbundenen Dienstes Daten erzeugt hat und die das vertraglich vereinbarte Recht hat, diese Daten zu nutzen (Art. 2 Nr. 6 DA-E). Subsidiär – also wenn eine Zugriffsmöglichkeit nicht besteht – haben Nutzer:innen gegen die Dateninhaber einen direkten Anspruch, die entsprechenden Daten bereitgestellt zu bekommen (Art. 4 DA-E).
Weitergehend wird es möglich sein, eine Bereitstellung der Daten von den Dateninhabern direkt an Dritte zu veranlassen (Art. 5 DA-E). Das dürfte für Nutzer:innen beispielsweise interessant sein, wenn sie auf Geräte eines anderen Anbieters wechseln wollen und ihre persönlichen Daten ‚mitnehmen‘ möchten. Wie genau die Datenbereitstellung auszusehen hat und unter welchen Bedingungen sie zu erfolgen hat, regelt der Data Act auch (Kapitel III DA-E). Beispielsweise müssen etwaige Gegenleistungen für die Bereitstellung an Dritte angemessen sein (Art. 9 Abs. 1 DA-E).
Nicht zuletzt bestehen im Rahmen von B2B-Veträgen über den Datenzugang und die Datennutzung Kontrollnormen, die die Vertragsparität und Wettbewerbsfreiheit sichern sollen (Art. 13 DA-E). Insbesondere sollen missbräuchliche Vertragsklauseln, die zuungunsten von KMU ausfallen, verhindert werden und so Vertragsparität gefördert werden.
Datenweitergabe an öffentliche Stellen bei Notständen und anderen Ausnahmesituationen
In öffentlichen Krisensituationen wie Naturkatastrophen oder schweren Unfällen können die in der Privatwirtschaft vorhandenen Datenmassen den Behörden hilfreiche Informationen liefern, um bspw. Situationen besser einschätzen zu können oder die Wirksamkeit von Maßnahmen zu eruieren. Daher regelt der Data Act ausnahmsweise Zugriffsrechte von Behörden auf Daten von Herstellern. Bei außergewöhnlichen Notwendigkeiten müssen Unternehmen öffentlichen Stellen oder einem Organ, einer Einrichtung oder sonstigen Stelle der Union bestimmte nicht-personenbezogene Daten zur Verfügung stellen (Art. 14 DA-E). Eine solche außergewöhnliche Notwendigkeit liegt insbesondere bei einem öffentlichen Notstand und bei der Vorbeugung oder Nachbereitung eines öffentlichen Notstands vor (Art. 15 DA-E).
Verhaltensregeln für einen fairen Wettbewerb auf dem Digitalmarkt
Der Data Act zielt darauf ab, die von einzelnen Big Tech-Unternehmen dominierte Digitalwirtschaft fairer und offener zu gestalten. Das soll unter anderem dadurch gefördert werden, dass Nutzer:innen ein Wechsel zwischen verschiedenen Datenverarbeitungsdiensten erleichtert wird (Kapitel VI DA-E). Datenverarbeitungsdienste sind digitale Dienstleistungen, die ihren Nutzer:innen die Möglichkeit bieten, eigene Daten mittels gemeinsam genutzter Rechenressourcen zu speichern, zu verwalten und aus der Ferne abzurufen (Art. 22a Abs. 1 Nr . 12 DA-E). Typische Beispiele sind Cloud- und Edge-Dienste.
Den Anbietern von Datenverarbeitungsdiensten werden einige Maßnahmen auferlegt, um Schwellen für Anbieterwechsel abzubauen (Art. 24 – 26 DA-E). So müssen die Diensteanbieter perspektivisch Entgelte, die für einen Wechsel berechnet werden, abschaffen und technische Hürden abbauen.
Interoperabilität
Schließlich sollen Datenräume und Datenverarbeitungsdienste zukünftig interoperabel gestaltet sein (Art. 28 und 29 DA-E). Interoperabilität meint hier die Fähigkeit mehrerer datenbasierter Dienste ohne Funktionsausfall miteinander zusammenzuarbeiten (Art. 2 Nr. 19 DA-E). Konkret sollen also Daten die über einen Dienst generiert wurden, auch über andere Dienste einheitlich verarbeitet, ausgetauscht und verwendet werden können. Dadurch soll beispielsweise der effiziente Wechsel zwischen verschiedenen Cloud-Anbietern ermöglicht werden.
Die Aufsicht über Anwendung und Durchsetzung des Data Acts sollen nationale Behörden nach Wahl der Mitgliedstaaten führen (Art. 31 DA-E). Sobald der Regelungsbereich des Data Acts jedoch personenbezogene Daten berührt, sind die Datenschutzbehörden zuständig (Art. 31 Abs. 1 lit. a DA-E).
Kritik aus der Industrie
US-amerikanische und europäische Tech-Unternehmen kritisieren die Vorschriften des Data Acts. Anfang Mai veröffentlichte eine Gruppe von CEO einen Brief an die EU-Kommission. Insbesondere wird eine Gefährdung des Geschäftsgeheimnisses angeprangert und dadurch ein zu unverhältnismäßiger Eingriff in den Wettbewerb. Die Kommission berief sich auf Möglichkeiten, die der Data Act bietet, vertragliche und technische Vorkehrungen zu treffen, um Know-How zu schützen. Zudem ist es gerade Regelungsziel, die Dominanz der Tech-Giganten einzugrenzen und Wettbewerb im Bereich der Digitalwirtschaft zugunsten von Interessen der Allgemeinheit und insbesondere Nutzer:innen zu regulieren.
Fazit
Der Data Act bringt umfangreiche Neuerungen mit sich und kann dazu beitragen, dass sich ein gesamteuropäisches Datenrecht etabliert. Die Verpflichtung der Dateninhaber, Daten zugänglich zu machen oder weiterzugeben, fördert den Datenaustausch zwischen Unternehmen und mit öffentlichen Einrichtungen. In Bezug auf die Rechte von Verbraucher:innen an Daten, die durch ihre Nutzung von IoT-Geräten entstehen, bringt die Verordnung Licht ins Dunkle und sorgt für mehr Rechtssicherheit. Der Data Act ist damit ein richtiger Schritt in Richtung Innovation und Fairness in der europäischen Datenwirtschaft.
Ihr Experte für Datenschutzrecht
Dr. Matthias Lachenmann, Rechtsanwalt und Partner
Telefon: +49 221 / 270 956 – 180, E-Mail: matthias.lachenmann@bho-legal.com