Ein großer Wurf mit ganz erheblichen Auswirkungen auf alle Unternehmen, die digitale Produkte bereitstellen, kündigt sich mit Kapitel II des Data Act-Entwurfs an. Überschrieben ist das Kapitel als B2C und B2B Data Sharing, umfasst sind weitreichende Zugangsrechte für Nutzer, denen die anbietenden Unternehmen Nutzungsdaten bereitstellen müssen. Erfasst sind davon alle Daten, die bei der Nutzung eines (digitalen) Produktes oder (verbundenen) Dienstes erzeugt werden. Diese müssen dem Nutzer oder einem von ihm benannten Dritten unter den Voraussetzungen des Kapitel II Data Act zugänglich gemacht werden.
Die Neuregelungen ergänzen das Recht auf Datenportabilität aus Art. 20 DSGVO und gehen weit über dieses hinaus. Ein wenig macht es den Anschein, als solle nachgeholt werden, was vom Recht auf Datenportabilität erhofft wurde, da dieses Recht aus der DSGVO in der Praxis nach wie vor ein Schattendasein fristet.
Einen allgemeinen Überblick über alle Kapitel des Data Act finden Sie hier:
Der Überblick: Ziel und Anwendungsbereich
Die Diagnose der EU-Kommission ist eindeutig: Daten, die bereits heute in einem unvorstellbaren Maße vorhanden sind und deren Quantität und Qualität sich weltweit stets vergrößert, sind ein wertvolles, wenn nicht sogar das wertvollste, Wirtschaftsgut unserer modernen Gesellschaft. Ihr Potential wird jedoch nicht vollends ausgeschöpft, da sie sich in den Händen einiger weniger, meist US-amerikanische Unternehmen befinden, die anderen Akteuren keinen (fairen) Datenzugang gewähren. Diesem status quo will die EU-Kommission mit dem Data Act begegnen – eines seiner Herzstücke, mit dem dieses Ziel erreicht werden soll, sind die Zugangsrechte aus Kapitel II.
Dieses Kapitel II enthält in seinen Artikeln 3 bis 7 Vorschriften zur Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen (englisch: „Data Sharing“).
Zum Hintergrund:
Bei der Nutzung eines vernetzten Produkts oder eines damit verbundenen Dienstes werden regelmäßig Daten erzeugt, gesammelt oder empfangen. Dies sind Daten, die der Nutzer selbst eingibt bzw. bereitstellt, etwa Schrittdaten auf der SmartWatch oder gemerkte Artikel in einer NewsApp. Daneben sind dies Diagnose- und Analysedaten, die erfassen, wie das Produkt bzw. der Dienst genutzt werden, z.B. Verweildauern oder Login-Daten. Entsprechende Daten können etwa auch bei der Nutzung von „Connected Cars“ oder smarten Haushaltsgeräten entstehen oder etwa dem Sprachassistenten (vgl. Erwägungsgründe 14, 22 und Art. 7 Abs. 2). Schließlich sollen sogar Daten erfasst sein, die ganz ohne Zutun des Nutzers erzeugt werden, z. B. wenn sich das Produkt im Standby-Modus befindet, und Daten, die in Zeiten aufgezeichnet werden, in denen das Produkt ausgeschaltet ist (zu alledem Erwägungsgrund 17). Nicht erfasst sind abgeleitete Daten, die aus den vorgenannten Nutzungsdaten errechnet oder entwickelt werden – die Ausnahme dient dem Schutz geistigen Eigentums.
Die Vorschriften sind sowohl auf personenbezogene als auch auf nicht-personenbezogene Daten anwendbar. Für personenbezogene Daten gilt ergänzend die DSGVO, die vom Data Act nicht überlagert werden soll.
Der Data Act sieht in seinem Kapitel II nun konkret vor:
- Jedem Nutzer eines solchen Produkts oder verbundenen Dienstes soll es möglich sein, auf diese Daten zuzugreifen oder Zugang zu ihnen zu erhalten (Art. 3, 4).
- Der Nutzer kann bestimmen, ob und in welchem Umfang Dritte Zugang zu diesen Daten erhalten, zu welchen Zwecken und unter welchen Bedingungen (Art. 5, 6). Gefördert werden sollen damit die Entwicklung neuer Produkte und Dienste sowie Innovationen auf nachgelagerten Märkten, ohne Investitionsanreize für den Produkttyp, von dem die Daten stammen, auszuschalten (was kritisch sein dürfte; zu den Zielen siehe Erwägungsgrund 28).
Um all dies zu erreichen sind Regelungen vorgesehen für
- Anforderungen an die (direkte) Zugänglichkeit der Daten,
- vorvertragliche Informationspflichten,
- Regelungen zum Ausmaß der Datenzugangsrechte und zur Art und Weise Datenbereitstellung sowie
- Regelungen zu den Bedingungen und dem Umfang der zulässigen Datennutzung.
Die Adressaten
Die neuen Vorschriften des Kapitels II berechtigten und verpflichten verschiedene Akteure, die an der Datenerzeugung oder -sammlung bei der Produktnutzung beteiligt sind oder ein Interesse daran haben diese Daten zu nutzen. Gleich vorweg: Der Adressatenkreis ist auf beiden Seiten (Verpflichtete und Berechtigte) denkbar weit.
Verpflichtet wird der „Dateninhaber“ und letztlich auch der Hersteller vernetzter Produkte und verbundener Dienste. „Dateninhaber“ ist jede natürliche oder juristische Person, die Kontrolle über die technische Konzeption des Produktes oder damit verbundener Dienste hat und dadurch in der Lage ist, bestimmte Daten bereitzustellen (Art. 2 Nr. 6). Regelmäßig ist der Dateninhaber Hersteller, Entwickler oder Anbieter des vernetzten Produktes. Es sind aber auch Konstellationen denkbar, in denen dies nicht der Fall ist, z.B. ein Cloud-Diensteanbieter, der Dateninhaber ist (Erwägungsgrund 21). Ausgenommen von den Pflichten sind Kleinst- und Kleinunternehmen, also solche mit bis zu 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz (Art. 7 Abs. 1).
Berechtigter: Rechte auf Datenzugang, -nutzung und -weitergabe erhält der „Nutzer“ eines Produkts. Dies ist eine natürliche oder juristische Person, die ein Produkt besitzt, mietet, least oder eine Dienstleistung erhält (Art. 2 Nr. 5). Sollte der Nutzer nicht derjenige sein, auf den sich die Daten beziehen, braucht er für seinen Zugangsanspruch ergänzend eine DSGVO-Erlaubnis, um Daten zu verarbeiten. Diese Konstellation kann in der Praxis etwa bei Connected Cars relevant werden, wenn der Fahrzeughalter Informationen über das Fahrverhalter der von ihm verschiedenen Fahrer erhalten möchte (etwa des Fahrverhaltens seiner Mitarbeiter, siehe dazu Klink-Straub/Straub, ZD-Aktuell 2022, 01076). Der Nutzer kann die Daten für sich oder einen Dritten verlangen. Dritter kann ein Unternehmen, eine Forschungseinrichtung oder auch eine gemeinnützige Organisation sein (Erwägungsgrund 29). Ausgeschlossen von dem neuen Zugangsrecht Dritter werden Plattformdienste, die aufgrund ihrer Marktmacht als sog. Gatekeeper im Sinne des Digital Markets Act (DMA) einzuordnen sind (Art. 5 Abs. 2).
Der Inhalt: Was ist zu tun?
Werden die Vorschriften wie vorgeschlagen erlassen, ist Nutzern bzw. von diesen autorisierten Dritten Datenzugang nach folgenden Maßstäben zu gewähren:
Datenzugang des Nutzers
- Information: Verpflichtende Angaben vor Abschluss des Vertrags [Art. 3 Abs. 2]
Vor Vertragsschluss müssen dem Nutzer Informationen in Bezug auf die voraussichtliche Datenerzeugung und -nutzung sowie die Zugänglichkeit (lit. a bis h) zur Verfügung gestellt werden. Es ist offenzulegen, wer Dateninhaber ist, wie dieser kontaktiert werden kann und wer, in welcher Art und Weise die Nutzung der Daten beabsichtigt. Zudem muss ihm aufgezeigt werden, welche Daten ihm zugänglich sind und wie er auf sie zugreifen kann. Die Information hat in klarem und verständlichem Format zu erfolgen. Dies führt in der Praxis zu einer erheblichen Erweiterung der Datenschutzerklärung bzw. der Angaben im Consent Management Tool.
- Zugang: Einfache, sichere und uU direkte Zugänglichkeit der Daten [Art. 3 Abs. 1]
Die bei der Nutzung von Produkten oder verbunden Diensten erzeugten Daten müssen standardmäßig für den Nutzer einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sein. Das heißt, dass Unternehmen ihre vernetzten Produkte dementsprechend konzipieren und ausgestalten müssen, für bestehende Produkte werden Zusatzfunktionen benötigt. Denkbar ist etwa eine Erweiterung teils schon bestehende „Privacy Center“ um direkte Zugriffsmöglichkeiten auf Analysedaten uvm., gestalterisch sind hier diverse Optionen denkbar. Der „direkte“ Zugang zu den auf dem Gerät oder auf einem entfernten Server gespeicherten Daten kann durch kabelgebundene oder drahtlose Funknetze hergestellt werden (Erwägungsgrund 21).
- Ausnahmen und Erleichterungen für Unternehmen bei der Zugangsgewährung [Art. 4 Abs. 1 bis 3, 5]
Sind die Daten nicht direkt vom Produkt aus zugänglich, muss der Dateninhaber dem Nutzer die Daten nach einem entsprechenden (elektronischen) Zugangsverlangen zur Verfügung stellen. Die Bereitstellung hat in diesem Fall unverzüglich, kostenlos und ggf. kontinuierlich und in Echtzeit zu erfolgen. Dies erinnert an die Bereitstellung von „Kopien“ der Daten unter dem Auskunftsrecht nach Art. 15 DSGVO, die ohne entsprechende Vorkehrungen für eine automatisierte Erstellung bisweilen in Unternehmen ganz erhebliche Ressourcen bindet. Kommt der Data Act, werden Unternehmen Optionen einer Automatisierung zu prüfen haben, um ressourcenschonend den Pflichten nachkommen zu können.
In Fällen, in denen Zugang zu personenbezogenen Daten verlangt wird und der Nutzer nicht gleichzeitig auch die von der Datenverarbeitung betroffene Person ist, muss einer gesonderte Erlaubnis zur Datenverarbeitung nach der DSGVO bestehen. Geschäftsgeheimnisse sind besonders geschützt; sie sind nicht ohne Weiters offenzulegen und ggf. sind Geheimhaltungsvereinbarungen zu schließen.
- Umfang der Datennutzung durch den Nutzer [Art. 4 Abs. 4]
Nutzer dürfen die erhaltenen Daten nicht dazu verwenden, konkurrierende Produkte zu entwickeln. Im Übrigen darf der Nutzer die Daten für jeden rechtmäßigen Zweck verwenden (Erwägungsgrund 28).
- Nutzung nicht-personenbezogener Daten des Nutzers durch den Dateninhaber [Art. 4 Abs. 6]
Will der Dateninhaber nicht-personenbezogene Daten, die bei der Nutzung eines Produkts oder verbundenen Dienstes erzeugt werden, selbst nutzen, muss er eine entsprechende vertragliche Vereinbarung mit dem Nutzer treffen; ansonsten ist ihm die Nutzung untersagt. Stets verboten ist es, nicht-personenbezogener Daten dazu zu verwenden, Informationen über den Nutzer zu erlangen, die ihm möglicherweise einen Wettbewerbsvorteil auf einem Markt, auf dem sie beide tätig sind, verschaffen könnte.
Datenweitergabe an Dritte
- Recht des Nutzers auf Weitergabe von Daten an Dritte [Art. 5 Abs. 1 bis 4, 6 bis 8]
Auf Verlangen des Nutzers ist der Dateninhaber verpflichtet, die Daten Dritten bereitzustellen. Möchte der Dateninhaber einem Drittanbieter (z.B. einem Anschlussdienst) Zugang zu den Daten gewähren, muss der Nutzer dies gestatten. Die Bereitstellung an den Dritten muss unverzüglich, in vorhandener Qualität und ggf. kontinuierlich und in Echtzeit zu erfolgen. Vom Dritten kann der Dateninhaber – anders als vom Nutzer – eine angemessene Gegenleistung verlangen (vgl. Art. 9); dies erläutern wir in unserem Blogbeitrag „Datenbereitstellungspflichten im Data Act“, auf den wir weiter unten verlinken.
Geht es um personenbezogene Daten, benötigt der Dritte ergänzend eine DSGVO-Erlaubnis, die Daten zu verarbeiten. Dateninhaber und Dritte haben durch entsprechende Vorkehrungen sicherzustellen, dass die Betroffenenrechte nach der DSGVO nicht beeinträchtigt werden und die betroffenen Personen ihre Rechte, insbesondere ihr Recht auf Datenübertragbarkeit (Art. 20 DSGVO), ungehindert ausüben können.
Auch bei der Datenbereitstellung an Dritte werden Geschäftsgeheimnisse geschützt.
- Nutzung nicht-personenbezogener Daten des Dritten durch den Dateninhaber [Art. 5 Abs. 5]
Dem Dateninhaber ist es untersagt, nicht-personenbezogene Daten, die bei der Nutzung des Produktes oder verbunden Dienstes erzeugt werden, dazu zu verwenden, Informationen über den Dritten zu erlangen, die ihm einen Wettbewerbsvorteil auf einem Markt bringen könnte, auf dem sie möglicherweise direkte Wettbewerber sind (Erwägungsgrund 29). Anders als der Nutzer hat der Dritte jedoch die Möglichkeit einer solchen Nutzung zuzustimmen. Hat er zugestimmt und die technische Möglichkeit, die Zustimmung jederzeit zu widerrufen, kann der Dateninhaber die Daten in Bezug auf den Dritten in vollem Umfang nutzen.
- Umfang der Datennutzung durch den Dritten [Art. 6]
Der Dritte darf die aufgrund des Zugangsverlangens erlangten Daten nur gemäß den vereinbarten Zwecken und Bedingungen und – soweit es sich um personenbezogene Daten handelt – unter Wahrung der Betroffenenrechte und der übrigen Vorgaben der DSGVO nutzen und verarbeiten. Sobald die Daten für den vereinbarten Zweck nicht mehr benötigt werden, ist der Dritte verpflichtet die Daten zu löschen.
Außerdem muss sich die Datennutzung innerhalb des Rahmens halten, den Art. 6 Abs. 2 vorgibt. Danach ist es Dritten – ebenso wie Nutzern – untersagt, Daten für die Entwicklung von Konkurrenzprodukten zu nutzen (lit. e). Persönlichkeitsprofile einer natürlichen Person im Sinne des Art. 4 Nr. 4 DSGVO dürfen nicht erstellt werden, außer dies ist für den gewünschten Dienst erforderlich (lit. b). Begrenzt ist auch die Datenweitergabe des Dritten an andere Dritte: An Gatekeeper im Sinne des DMA dürfen die Daten in keinem Fall weitergegeben werden (lit. d). Andere Dritte dürfen die Daten in roher, aggregierter oder abgeleiteter Form nur erhalten, wenn dies erforderlich ist, um den vom Nutzer gewünschten Dienst zu erbringen (lit. c). Umgekehrt darf der Dritte den Nutzer weder tatsächlich noch durch entsprechende Vertragsgestaltung daran hindern, anderen Dritten die erhaltenen Daten bereitzustellen (lit. f). Außerdem ist es Dritten untersagt, in irgendeiner Weise (z.B. mittels einer digitalen Schnittstelle) den Nutzer so zu zwingen, zu täuschen oder zu manipulieren, dass dieser nicht mehr völlig frei entscheiden und agieren kann (lit. a).
Die weiteren Bedingungen der Datenbereitstellung, die insbesondere fair und angemessen zu erfolgen hat, ergeben sich auf dem ergänzenden Kapitel III des Data Act. Dieses haben wir Ihnen hier vorgestellt:
Ausblick: Bedeutung für die Praxis
Kapitel II birgt womöglich die größte Sprengkraft in der Praxis: Anbieter und Hersteller vernetzter Produkte und verbundener Dienste müssen ganz neue Funktionalitäten einbauen, um die vielen Daten überhaupt bereitstellen zu können, die nach Kapitel II als „Nutzungsdaten“ zugänglich sein müssen. Dies bringt nicht nur Entwicklungsaufwand, sondern auch das Risiko, dass Investitionsanreize verringert werden. Letzteres soll gerade vermieden werden, so die EU-Kommission. Um dieses Ziel zu erreichen und einen angemessenen Ausgleich zwischen den legitimen und nachvollziehbarer Weise zu stärkenden Zugangsrechten von Nutzern und autorisierten Dritten auf der einen Seite sowie den Produktanbietern auf der anderen Seite zu erreichen, sind umfangreiche Diskussionen um die Regelungen in Kapitel II in den nächsten Wochen und Monaten unumgänglich. Mag dieser noch weitgehend deskriptive Überblick einen Startschuss dazu geben!