Ein Datengesetz: Die EU-Kommission hat Ende Februar 2022 den Entwurf eines „Data Act“ vorgelegt. Dahinter verbirgt sich der Vorschlag für eine EU-Verordnung über harmonisierte Vorschriften für einen fairen Zugang zu Daten und deren Nutzung. Als EU-Verordnung werden die neuen Vorgaben nach Inkrafttreten in allen EU-Mitgliedstaaten unmittelbar gelten. Es wird also kein nationales Umsetzungsgesetz benötigt, Unternehmen und öffentliche Stellen werden die Vorschriften 12 Monate nach der Veröffentlichung im Amtsblatt ohne weiteres einhalten und umsetzen müssen.
Der Data Act soll künftig neue Maßstäbe für den Zugang zu, die Bereitstellung von und die Nutzung von in der EU erzeugten Daten setzen. Ziel ist es, zu einer fairen, innovativen und effizienten digitalen Wirtschaft in der EU beizutragen. Der Zugang zu vorhandenen (Industrie-) Daten soll erleichtert werden, Rechtssicherheit soll Vertrauen in die gemeinsame Nutzung von Daten fördern und der Abbau von technischen Hindernissen soll den Weg zu einer interoperablen und agilen Datenwirtschaft bereiten.
Die im Entwurf vorgesehenen Regelungen sind umfangreich und weitreichend. Sie betreffen verschiedene Bereiche der digitalen Wirtschaft und eine Vielzahl unterschiedlicher Akteure, insbesondere Hersteller von smarten, vernetzten Produkten. Ihre Umsetzung wird erheblichen Umsetzungsaufwand mit sich bringen, aber auch Chancen bieten, etwa neue Geschäftsmodelle ermöglichen.
Bis zum Inkrafttreten des Data Act werden noch einige Diskussionen geführt werden: Mit dem jetzt vorliegenden Entwurf ist der erste Schritt getan, die EU-Kommission hat ihre Position kundgetan. Es folgt nun das Verordnungsgebungsverfahren mit Einbindung von Rat und Parlament. Der Data Act war bereits vor Veröffentlichung seines ersten Entwurfs derart intensiv diskutiert, dass auch das nun anstehende Verordnungsgebungsverfahren kontrovers zu werden verspricht.
Umso bedeutender ist es angesichts dessen, schon von Beginn an die weitreichenden Vorschläge im Blick zu halten, auf die Weiterentwicklung Einfluss zu nehmen und Geschäftsmodelle frühzeitig auf das auszurichten, was aus Brüssel kommen dürfte.
In dieser Beitragsreihe stellen wir Ihnen die unterschiedlichen Regelungsbereiche des Data Act vor und erläutern Ihnen die Neuerungen sowie die zu erwartende Auswirkungen in der Praxis.
Sie erwarten 7 Fokusthemen mit den folgenden Schwerpunkten, ausgehend von den Regelungsbereichen das Data Act, wie er derzeit im Entwurf vorliegt:
- Zugangsrechte zu Daten: Nutzung der von einem Produkt oder Dienst erzeugten (Meta-) Informationen (Kapitel II – Art. 3 bis 7)
Bei der Nutzung eines vernetzten Produkts oder eines damit verbundenen Dienstes werden regelmäßig Daten erzeugt, gesammelt oder empfangen. Jedem Nutzer eines solchen Produkts oder Dienstes soll es künftig möglich sein, auf diese Daten zuzugreifen oder Zugang zu ihnen zu erhalten. Der Nutzer soll entscheiden können, ob und in welchem Umfang Dritte Zugang zu diesen Daten erhalten und zu welchen Zwecken und unter welchen Bedingungen sie diese nutzen dürfen.
Kapitel II ist damit eines der Herzstücke des neuen Data Act und womöglich das weitreichendste Kapitel für alle Anbieter von vernetzten Produkten und Diensten: Anbieter müssen ihre Produkte für die Nutzer öffnen und u.a. Metadaten umfassend bereitstellen. Dies bringt nicht nur technische Herausforderungen mit sich, sondern wird auch ganz erhebliche kommerzielle Auswirkungen auf die Produktentwicklung haben.
- Pflichten, Daten Dritten bereit zu stellen (Kapitel III – Art. 8 bis 12)
Wenn ein Gesetz den Zugang zu Daten normiert, wie etwa Kapitel II des Data Act, dann sind die Regelungen dieses Kapitels III ergänzend zu beachten: Die Bereitstellung von Daten an professionelle Datenempfänger (nicht die Produktnutzer) muss zu fairen Bedingungen und transparent erfolgen, eine etwaig verlangte Gegenleistung muss angemessen sein.
- Pflichten, Daten öffentlichen Stellen bereit zu stellen (Kapitel V – Art. 14 bis 22)
Für die Bewältigung öffentlicher Notfälle und sogar – wenn es „anders nicht geht“ – für die Erfüllung öffentlicher Aufgaben können künftig öffentliche Stellen bei Unternehmen Daten in verhältnismäßigem Umfang anfordern. Unternehmen müssen diese Daten dann entsprechend der Anforderung bereitstellen.
- Vertragsgestaltung: Verbot missbräuchlicher Klauseln beim Zugang zu Daten und deren Durchsetzung und Mustervertragsklauseln der EU-Kommission (Kapitel IV – Art. 13 und Art. 34)
Vertragliche Vereinbarungen über den Zugang zu Daten und ihre Nutzung, die Haftung und Rechtsbehelfe bei der Verletzung oder Beendigung von Vereinbarungen sind zentral für die kommerzielle Bewertung von Datengeschäften. Bei Verträgen mit kleinen und mittleren Unternehmen werden diese Klauseln künftig besonders geprüft: Sind derartige Klauseln missbräuchlich, entfalten sie keine Wirksamkeit.
Missbräuchlich ist insbesondere all das, was „in grober Weise“ von der guten Geschäftspraxis abweicht, gegen Treu und Glauben und gegen die guten Sitten verstößt. Hierzu wird die EU-Kommission ergänzend Mustervertragsklauseln vorlegen.
- Wechsel zwischen Datenverarbeitungsdiensten: Datenportabilität (Kapitel VI – Art. 23 bis 26)
Auch an einer weiteren Stelle sagt die EU-Kommission mit dem Data Act exklusiven Geschäftsvorteilen und LogIn-Effekten den Kampf an: Anbieter von Datenverarbeitungsdiensten, also etwa Cloud-Anbieter, müssen künftig sicherstellen, dass Kunden zu einem anderen Datenverarbeitungsdienst wechseln können. Kommerzielle, technische, vertragliche und organisatorische Vorkehrungen, die die Kunden daran hindern, müssen beseitigt werden.
In der Praxis muss mithin insbesondere die Datenmigration danach deutlich und flächendeckend erleichtert werden. Der Data Act enthält dazu eine Reihe detaillierter Vorgaben. So müssen u.a. etwa Daten, Anwendungen und digitalen Bestände migriert werden mit einer Übergangsfrist von maximal 30 Tagen, der Umstellungsprozess muss vom bisherigen Anbieter unterstützt und, soweit technisch machbar, abgeschlossen werden, die uneingeschränkte Kontinuität bei der Bereitstellung der betreffenden Funktionen oder Dienste muss gewährleistet werden. Welche Gegenleistung der migrierende bisherige Anbieter dafür verlangen darf, ist vom Data Act ebenfalls reguliert und wird perspektivisch auf Null abgesenkt.
- Internationaler Transfer nicht-personenbezogener Daten (Kapitel VII – Art. 27)
Anbieter von Datenverarbeitungsdiensten haben auch für nicht-personenbezogene Daten künftig angemessene technische, rechtliche und organisatorische Maßnahmen zu treffen, um die internationale Übermittlung oder den staatlichen Zugriff auf in der Union gespeicherte Daten (von außerhalb) zu verhindern, wenn eine solche Übermittlung oder ein solcher Zugriff zu einem Konflikt mit dem Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats führen würde. Auch für nicht-personenbezogene Daten kommt damit eine (gegenüber der DSGVO abgeschwächte) Schutzpflicht der Daten bei Berührungen mit Gebieten außerhalb der EU zustande.
- Interoperabilität (Kapitel VIII – Art. 28 bis 30)
Ein „Binnenmarkt der Daten“, das grundlegende Ziel der EU-Digitalstrategie, ist umso besser erreichbar, umso einfacher Daten gehandelt, ausgetauscht und gegenseitig genutzt werden können. Die Pflicht zur Herstellung einer verbesserten Interoperabilität wird so zum Rückgrat der EU-Digitalstrategie.
Im Data Act markieren die Pflichten zur Verbesserung der Interoperabilität das letzte inhaltliche Kapitel. Es widmet sich drei wesentlichen Bereichen:
Betreiber von Datenräumen müssen grundlegende Interoperabilitätsanforderungen erfüllen, u.a. den Inhalt der Datensätze, Nutzungsbeschränkungen, Lizenzen etc. ausreichend beschreiben, damit der Empfänger die Daten finden, darauf zugreifen und sie nutzen kann.
Datenverarbeitungsdienste müssen bestimmte Spezifikationen einhalten und u.a. die Übertragbarkeit digitaler Bestände zwischen verschiedenen Datenverarbeitungsdiensten, die denselben Diensttyp abdecken, verbessern.
Intelligente Verträge (smart contracts) müssen ebenfalls bestimmte Anforderungen einhalten, u.a. so konzipiert sein, dass eine Manipulation durch Dritte ausgeschlossen wird oder eine Datenarchivierung der Transaktionsdaten, der Logik und des Codes des intelligenten Vertrags vorgesehen ist, um die Aufzeichnung der in der Vergangenheit an den Daten durchgeführten Operationen abzubilden.
Geltungsbereich und Verhältnis zu anderen Rechtsvorschriften
Gelten wird die Verordnung nach dem aktuellen Entwurf (Art. 1) für
- Hersteller und Nutzer von Produkten und Dienstleistungen, mit denen Daten erzeugt, bereitgestellt oder genutzt werden
- Dateninhaber und Datenempfänger in der EU
- Öffentliche Stellen, die Daten für die Wahrnehmung einer Aufgabe im öffentlichen Interesse benötigen und die Dateninhaber, die solche Daten zur Verfügung stellen können bzw. sollen
- Anbieter von Datenverarbeitungsdiensten in der EU
An verschiedenen Stellen privilegiert der Data Act KMU, also kleine und mittlere Unternehmen, etwa bei der Datenbereitstellung (angemessene Gegenleistung nur bei reiner Kostendeckung) und den Vertragsklauseln (spezifische Missbrauchskontrolle).
Neben dem Data Act bleiben die DSGVO und ePrivacy-Richtlinie unberührt. Der Data Act ergänzt die bestehenden Regelungen, schränkt dieser aber nicht ein und modifiziert sie auch nicht.
Durchsetzung und Bußgelder
Die Durchsetzung der neuen Verordnung ist von den Mitgliedstaaten jeweils einer oder mehrerer Behörden aufzugeben, wobei die Überwachung mit Blick auf personenbezogene Daten den Datenschutzaufsichtsbehörden obliegen wird. Die betrauten Behörden müssen mit ausreichenden Instrumenten und Durchsetzungskraft ausgestattet werden.
Die Behörden werden auch als Beschwerdestelle dienen und sollen die Befugnis erhalten, von den jeweiligen Mitgliedstaaten noch festzulegende Bußgelder zu erlassen. Geht es um Verstöße gegen die Verarbeitung personenbezogener Daten, sollen die Bußgeldvorschriften der DSGVO Anwendung finden mit Bußgeldern von bis zu 4% des Jahresgruppenumsatzes bzw. 20 Mio. Euro.
Ausblick
Der Entwurf des Data Act ist ein weiterer großer Wurf der EU-Kommission. Im Rahmen ihrer Digitalstrategie zielt diese darauf, die Maßstäbe zu setzen für die künftige Regulierung der „digital economy“. Der Data Act reiht sich insofern ein in die wachsende Liste relevanter Entwürfe, insbesondere der KI-Verordnung, aber auch dem Data Markets Act oder dem Data Governance Act.
Mit dem Data Act steigt die EU nun erstmals in die Regulierung des eigentlichen Datengeschäfts ein und begrenzt ihre Vorgaben nicht, wie bisher, auf Spezialbereiche (KI), marktstarke Player wie Amazon, Apple, Google oder Facebook (Meta) und ähnliche Akteure (Digital Markets Act) oder die öffentliche Hand (Data Governance Act).
Der Data Act erstreckt sich als horizontale Regulierung auf alle Sektoren und alle Akteure im Datengeschäft. Er wird sich, so meine ganz subjektive Erwartung, zu der zentralen Regelung für alle digitalen Angebote neben dem Digitalen Vertragsrecht, der DSGVO und der ePrivacy-Regulierung entwickeln.
Zur Digitalstrategie finden Sie einen Überblick hier
Zum aktuellen Stand des Digital Markets Act berichteten wir im Blog hier
Unsere Reihe zum Data Act beginnt mit diesem Artikel und wird in den nächsten Wochen fortgesetzt werden. Wir werden uns in jeder Woche auf ein weiteres Kapitel fokussieren und die wichtigsten Anforderungen und Auswirkungen zusammenfassen.
Die Autorin dankt den wissenschaftlichen Mitarbeitern bei Loschelder, Frau Julia Esser und Herrn Philipp Schoel, für die wertvolle Unterstützung bei der Ausarbeitung dieser Blog-Reihe zum Data Act.