Am 22.12.2023 hat die EU den Data Act in ihrem Amtsblatt verkündet. Er tritt damit in 20 Tagen in Kraft. Gelten wird er überwiegend ab dem 12.09.2025. Die Datenzugangsregeln greifen ab dem 12.09.2026. Dies erscheint lange – wir starten doch gerade erst in das Jahr 2024. Doch ist hier Vorsicht geboten: Die Pflichten sind weitreichend und oft unklar. Für eine rechtssichere Umsetzung ist ein intensiver Austausch im Unternehmen mit allen Stakeholdern geboten.
Der volle Titel des Data Act ist sperrig: VERORDNUNG (EU) 2023/2854 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung).
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L_202302854
Sein Inhalt ist nicht minder schwerfällig und oft unklar. Der Data Act bringt weitreichende neue Pflichten und Rechte für Unternehmen in der Datenwirtschaft. Was genau wo wie gilt, ist aber an vielen Stellen unklar geblieben.
Worum geht es?
Der Data Act (DA) beinhaltet verschiedene Bausteine, die den Datenzugang und die Datennutzung in der Union neu regulieren sollen:
Datenzugang
Anbieter digitaler, vernetzter Produkte müssen Nutzern künftig Zugang zu den bei der Nutzung erzeugten Daten in Echtzeit ermöglichen. Das sind z.B. Anwendungsdaten eines Roboterarms oder auch Fahrdaten vom Auto. Erfasst werden z.B. Verweildauern oder Login-Daten, Bewegungsmuster bei Standortverarbeitung, Diagnose- und Analysedaten, die aufzeichnen, wie das Produkt bzw. der Dienst genutzt werden.
Der neue Datenzugangsanspruch ist eines der Herzstücke des Data Act und in Kapitel II geregelt. Die Regelungen zum Datenzugang werden künftig fast sämtliche Wirtschaftsbereiche erfassen – sowohl auf Seiten der verpflichteten Dateninhaber, als auch auf Seiten der zugangsberechtigten Datennutzer. In der Praxis ist höchst umstritten, ob dieser Datenzugangsanspruch eine Revolution in der Datenwirtschaft verursachen wird oder aber, wie der Anspruch auf Datenportabilität in der DSGVO, ein Nischendasein ohne echte praktische Anwendungsfälle fristen wird. Die Stimmen für die erhebliche Bedeutung des neuen Zugangsanspruchs überwiegen. Ein wesentlicher Grund dafür ist, dass nicht nur der Nutzer Zugang zu den (für ihn vermutlich oft kaum verwendbaren Rohdaten) erhält. Der Anspruch geht weiter: Nutzer können anweisen, dass der Zugang einem Dritten gewährt wird, also auch einem anderen Unternehmen. Dafür müssen dann Datenlizenzverträge geschlossen werden. Besondere Herausforderungen ergeben sich, wenn dabei der Datenschutz (bei Verarbeitung personenbezogener Daten) und der Geheimnisschutz gewahrt werden sollen und müssen. Beides ist im Data Act nicht klar und erst recht nicht abschließend geregelt.
Sinn und Zweck des Zugangsanspruchs ist die Öffnung der Märkte. Ähnlich, wie früher die Autoreparatur letztlich nur in der Vertragswerkstatt erfolgen konnte, ist der Nutzer digitaler Produkte heute für Support, Wartung und Ad-On-Services regelmäßig an den originären Anbieter gebunden. Dies soll sich ändern, der Zugangsanspruch soll den Markt für Ergänzungsangebote öffnen. Für Wettbewerber bleibt er verschlossen: Der Zugangsanspruch soll nicht dazu genutzt werden dürfen, als echter Wettbewerber aufzutreten oder besser zu werden. Auch Geschäftsgeheimnisse sollen geschützt bleiben, wobei die Regelungen im Data Act hierzu überaus dünn sind.
Insgesamt zeigt sich hier auch die große Schwäche des Data Act: Der Schutz der Geschäftsgeheimnisse ist nur vage normiert und es wird völlig offen gelassen, ob und wie die Verarbeitung personenbezogener Daten beim Datenzugang datenschutzkonform auszugestalten ist. Die Einhaltung von DSGVO und nationalem Datenschutzrecht obliegt dem Anbieter, der damit auch die nach wie vor bestehende Rechtsunsicherheit zu tragen hat.
Wechsel zwischen Datenverarbeitungsdiensten: Cloud-Switching
Erhebliches Potential für die Datenwirtschaft steckt auch in den Regelungen zur Datenportabilität in Kapitel VI Data Act. Diese Regelungen sollen Kunden den Wechsel zwischen Datenverarbeitungsdiensten ermöglichen oder jedenfalls erleichtern und LockIn-Effekte reduzieren und vermeiden.
Mit den adressierten Datenverarbeitungsdiensten sind digitale Dienste wie z.B. Cloud-Dienste, Betriebssysteme oder Softwaredienste gemeint. Der Unionsgesetzgeber hatte hier in erster Linie markbeherrschende Digitalunternehmen, wie z.B. Amazon, Google, Microsoft oder SAP im Sinn, die mit ihren Cloud-Anwendungen die Grundlage für unzählige digitale Angebote bilden, etwa CRM-Systeme oder andere App-Anwendungen, die auf Microsoft Azure, bei AWS oder einer anderen IT-Landschaft aufgebaut und gehostet sind. Der Data Act beschränkt sich aber nicht auf große Anbieter: verpflichtet zum Cloud-Switching ist jeder Anbieter von Datenverarbeitungsdiensten, auch kleine Unternehmen oder StartUps.
Mit der Möglichkeit zum Wechsel zwischen solchen Datenverarbeitungsdiensten will der Unionsgesetzgeber einen wettbewerbsfähigeren Markt mit leichteren Zugangsmöglichkeiten für neue Dienstanbieter auf dem Markt der Cloud- und Edge-Anbieter. Eine damit einhergehende Einschränkung der Rechtspositionen von Datenverarbeitungsdiensten wird mit der Bekämpfung der Lock-in-Effekte auf dem Cloud- und Edge-Markt gerechtfertigt: Kunden sollen nicht an einen bestehenden Datenverarbeitungsdienstanbieter gebunden sein (müssen), weil ein Wechsel mit finanziellem oder praktischem Aufwand verbunden ist. Viele Unternehmen werden hiervon profitieren, da kaum ein Unternehmen ohne die Nutzung von Cloud- und Edge-Services agiert.
Die künftigen Regelungen reichen weitgehend von (vertraglichen) Vorgaben zu kurzfristigen Kündigungsrechten über Migrationsvorgaben bis hin zu der schrittweisen Abschaffung von Wechselentgelten. Hierzu macht der Data Act Vorgaben, dass die Verträge der Datenverarbeitungsdienste spezielle Klauseln enthalten müssen, die ihren Kunden den Wechsel zu einem anderen Datenverarbeitungsdienst erleichtern.
Keine Datenverarbeitungsdienste im Sinne des Data Act sind jedoch Online-Inhaltedienste: Bei solchen handelt es um online erbrachte, audiovisuelle Mediendienste mit redaktioneller Verantwortung und lineare Rundfunkangebote. Hier gelten keine Vorgaben für einen vereinfachten Wechsel.
Interoperabilität
Die Vorgaben zur Datenportabilität werden ergänzt mit den Regelungen zur Interoperabilität in Kapitel VIII des Data Act. Interoperabilität beschreibt die Fähigkeit unterschiedlicher Systeme, nahtlos zusammenzuarbeiten, also etwa Daten untereinander auszustauschen. Die Pflicht zur Herstellung einer verbesserten Interoperabilität ist wesentlicher Bestandteil der EU-Digitalstrategie: Ein „Binnenmarkt der Daten“ ist umso besser erreichbar, umso einfacher Daten gehandelt, ausgetauscht und gegenseitig genutzt werden können.
Der Data Act sieht dafür vor, dass Betreiber von Datenräumen grundlegende Interoperabilitätsanforderungen erfüllen müssen. Dies betrifft die genaue Beschreibung von, u.a. dem Inhalt der Datensätze, Nutzungsbeschränkungen, Lizenzen, damit der Empfänger die Daten finden, darauf zugreifen und sie nutzen kann. Datenverarbeitungsdienste müssen bestimmte Spezifikationen einhalten und u.a. die Übertragbarkeit digitaler Bestände zwischen verschiedenen Datenverarbeitungsdiensten, die denselben Diensttyp abdecken, verbessern.
Intelligente Verträge (smart contracts) müssen ebenfalls bestimmte Anforderungen einhalten, u.a. so konzipiert sein, dass eine Manipulation durch Dritte ausgeschlossen wird oder eine Datenarchivierung der Transaktionsdaten, der Logik und des Codes des intelligenten Vertrags vorgesehen ist, um die Aufzeichnung der in der Vergangenheit an den Daten durchgeführten Operationen abzubilden.
Vertragliche Regelungen zur Datenverwendung
Schließlich sieht der Data Act in Kapitel IV Vorkehrungen gegen die Verwendung missbräuchlicher Klauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen vor. An den entsprechenden Regelungen werden sich vertragliche Vereinbarungen über den Zugang zu Daten und ihre Nutzung, Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten messen lassen müssen. Ursprünglich sollte diese Vertragskontrolle nur zugunsten von KMU greifen. Hier haben sich jedoch Parlament und Rat durchgesetzt: Erweisen sich entsprechende Klauseln in künftigen Verträgen als missbräuchlich, entfalten sie gegenüber allen Unternehmen keine Wirksamkeit. Die EU-Kommission soll hier auch Mustervertragsklauseln für Datenzugang und Datennutzung ausarbeiten, um den Abschluss wirksamer Verträge zu erleichtern.
Daten für die öffentliche Hand
In seinem Kapitel V gibt der Data Act staatlichen Stellen ein Instrument in die Hand, um in Situationen einer „außergewöhnlichen Notwendigkeit“ Unternehmensdaten einfordern und verwenden zu können. Sie sollen so besser befähigt werden, auf öffentliche Ausnahmezustände zu reagieren. Mit den Situationen der „außergewöhnlichen Notwendigkeit“ sind Notfälle gemeint, die eine Gefährdung der Lebensbedingungen oder der wirtschaftlichen Stabilität in einem oder mehreren Mitgliedstaaten darstellen. Es geht dabei um Notlagen im Bereich der öffentlichen Gesundheit, Naturkatastrophen sowie um menschengemachte Notfälle wie Cyberangriffe oder Terroranschläge. In solchen Fällen sollen staatliche Stellen künftig also beispielsweise die Preisgabe der Daten von Telekommunikationsanbietern verlangen, um Menschenansammlungen zu erkennen, wie dies etwa in der Corona-Pandemie auf freiwilliger Basis erfolgte.
Die angefragten Unternehmen haben nur eingeschränkt das Recht, die Datenauskunft zu verweigern, etwa weil die angeforderten Daten gar nicht erst vorhanden sind, die Formanforderungen der Anfrage nicht erfüllt sind, oder die Daten zuvor bereits einer anderen öffentlichen Stelle übermittelt worden sind.
Weitere Informationen, Workshops und Webinare
Für Fragen zum Data Act stehen wir immer gerne zur Verfügung: Schreiben Sie uns unter kristina.schreiber@loschelder.de oder besuchen Sie unser Webinar der Lunch@Loschelder-Reihe am 28.02.2024 (kostenfrei) – Anmeldungen unter webinare@loschelder.de und weitere Informationen auch hier: