Wer Daten bereitstellen muss, hat dies zu fairen, angemessenen und nicht-diskriminierenden Bedingungen in einer transparenten Art und Weise zu tun. Kapitel III des Data Act-Entwurfs präzisiert damit in seinen Artikeln 8 bis 12 die Umsetzung von aus anderen Normen bestehenden Bereitstellungspflichten. Für alle Normadressaten bedeutet das: Unabhängig davon, ob sie Daten nach dem neuen Data Act oder anderen Rechtsvorgaben bereitstellen müssen: Die neuen Vorgaben des Data Act sind stets ergänzend zu beachten.
Einen allgemeinen Überblick über den Data Act finden Sie hier:
Der Überblick: Ziel und Anwendungsbereich
Kapitel III des Data Act-Entwurfs beinhaltet allgemeine Vorschriften für alle Fälle, in denen ein Dateninhaber (z.B. der Hersteller eines smarten Produkts) gesetzlich verpflichtet ist, einem Datenempfänger Daten bereitzustellen. Ziel der Regelungen ist es, sektorübergreifend einheitliche und faire Praktiken für eine verbesserte, gemeinsame Datennutzung im gesamten Binnenmarkt zu gewährleisten (Erwägungsgrund 38). Die Regelungen formulieren dazu:
- Anforderungen an die Bereitstellungsbedingungen,
- die Vereinbarung einer Gegenleistung,
- alternative Möglichkeiten der Streitbeilegung sowie
- Bestimmungen zu technischen Schutzmaßnahmen und
- Rechtsfolgen für den Fall der unbefugten Nutzung oder Offenlegung von Daten.
Datenbereitstellungspflichten ergeben sich etwa aus Kapitel II des Data Act-Entwurfs; diese erläutern wir in unserem Blogbeitrag „Data Act – Zugangsrechte“, der demnächst hier erscheint. Werden bei der Nutzung eines Produkts oder verbundenen Dienstes Daten erzeugt auf die (nur) der Dateninhaber Zugriff hat, muss er diese Daten dem Nutzer sowie vom Nutzer benannten Dritten bereitstellen.
Der Anwendungsbereich der allgemeinen Datenbereitstellungspflichten des Kapitels III ist jedoch nicht auf diesen Fall begrenzt. Die Pflichten aus diesem Kapitel sind auch anwendbar, wenn sich die Datenbereitstellungspflichten aus anderen EU-Vorschriften oder aus nationalem Recht, das der Umsetzung von Unionsrecht dient, ergeben. Ein Paradebeispiel dafür könnten die Pflichten zur Bereitstellung von Daten nach der DSGVO sein; darauf sind die Neuregelungen im Data Act-Entwurf gemäß Erwägungsgrund 38 aber nicht anwendbar. Nicht anwendbar sind die Regelungen auch überall dort, wo Daten freiwillig gemeinsam genutzt und bereitgestellt werden. Mehr noch: Damit Kapitel III anwendbar ist, müssen die gesetzlichen Datenbereitstellungspflichten nach Geltungsbeginn des Data Acts in Kraft getreten sein (Art. 12 Abs. 2). Praxisbeispiele für relevante Zugangspflichten jenseits von Kapitel II Data Act werden sich daher erst in der Zukunft entwickeln.
Die Adressaten
Die allgemeinen Pflichten in Kapitel III regulieren das Rechtsverhältnis zwischen Dateninhaber und Datenempfänger. Konkretisiert werden dabei zuvörderst die Pflichten der Dateninhaber bei einer Datenbereitstellung. Einzelne Folgeregelungen konkretisieren, welche Anforderungen Datenempfänger beim Datenempfang einzuhalten haben.
„Dateninhaber“ sind alle natürlichen oder juristischen Personen, die Kontrolle über die technische Konzeption eines Produktes und damit verbundener Dienste haben und dadurch in der Lage sind, bestimmte Daten bereitzustellen (Art. 2 Nr. 6). Zudem muss der Akteur zur Bereitstellung der Daten berechtigt oder verpflichtet sein.
„Datenempfänger“ sind nicht schlichte Nutzer („user“), sondern alle juristischen oder natürlichen Personen, die zu gewerblichen, geschäftlichen, handwerklichen oder beruflichen Zwecken innerhalb ihrer Tätigkeit handeln und denen vom Dateninhaber Daten bereitgestellt werden (Art. 2 Nr. 7). Die Nutzer eines Produktes, durch deren Nutzung bereitzustellende Daten erzeugt werden, sind gerade keine Datenempfänger im Sinne des Data Act. Dies führt dazu, dass Kapitel III nur im „professionellen Bereich“ Anwendung findet, wo Daten von einem Dateninhaber an solche Dritte übermittelt werden müssen, die die Daten aus unternehmerischen Gründen in Empfang nehmen.
Der Inhalt: Was ist zu tun?
Werden die Vorschriften wie vorgeschlagen erlassen, muss die Datenweitergabe vom Dateninhaber an den Datenempfänger folgenden spezifischen Anforderungen – ergänzend zu den jeweiligen Zugangspflichten – genügen:
- Faire, angemessene, nicht-diskriminierende und transparente (Vertrags-) Bedingungen [Art. 8]
Der Data Act schränkt die Privatautonomie und Gestaltungsfreiheit für Dateninhaber und Datenempfänger ein: Jede Vereinbarung muss faire, angemessene und nicht-diskriminierende Bereitstellungsbedingungen vorsehen und dies transparent ausgestalten. Der Dateninhaber trägt die Beweislast, dass dies eingehalten wird (Erwägungsgrund 41). Vertragsbedingungen dürfen zudem weder missbräuchlich sein noch die Ausübung der (Datenzugangs-) Rechte des Nutzers nach Kapitel II ausschließen oder abändern; entsprechende Vertragsklauseln sind „nicht bindend“, im deutschen Rechtssystem also schlicht unwirksam.
- Angemessene Gegenleistung für die Bereitstellung von Daten [Art. 9]
Dateninhaber können für die Bereitstellung der Daten i.d.R. mit dem Datenempfänger eine Gegenleistung vereinbaren. Diese Möglichkeit soll Anreize für Dateninhaber setzen, auch (benötigte) Daten für die Bereitstellung zu erzeugen und in dafür benötigte technische Instrumente zu investieren (Erwägungsgrund 42). Der Data Act schreibt allerdings vor, dass die vereinbarte Gegenleistung stets angemessen sein muss.
„Angemessen“ ist die Gegenleistung regelmäßig unter Berücksichtigung von „Faktoren wie Menge, Format, Art, Angebot und Nachfrage sowie die Kosten für die Sammlung und Bereitstellung der Daten für den Datenempfänger“ (Erwägungsgrund 46). Damit der Datenempfänger dies prüfen kann, muss der Dateninhaber ihm ausreichend detaillierte Informationen für die Berechnung der Gegenleistung zur Verfügung stellen (Erwägungsgrund 47).
Ist der Datenempfänger ein kleines oder mittleres Unternehmen (KMU), ist die vereinbarte Gegenleistung nur „angemessen“, wenn sie die Kosten nicht übersteigt, die mit der Bereitstellung der Daten für den Empfänger unmittelbar zusammenhängen und dem Verlangen zuzurechnen sind. Solche Kosten entstehen etwa bei der Reproduktion, i.R.d. elektronischen Verarbeitung oder Speicherung von Daten (Erwägungsgrund 45). Zudem darf ein Dateninhaber von vergleichbaren KMU-Datenempfängern nicht unterschiedlich hohe Zahlungen als Gegenleistung verlangen. Kommt es zu Streitigkeiten, muss der Dateninhaber den nicht-diskriminierenden Charakter der Gegenleistung beweisen. Anders als in anderen Vertragskonstellation sei ein KMU als Datenempfänger aufgrund seiner schwächeren Verhandlungsposition vor übermäßigen wirtschaftlichen Belastungen zu schützen, die sie in der Entwicklung und dem Betrieb innovativer Geschäftsmodelle hindern würden (Erwägungsgrund 44, 46 Data Act-Entwurf).
Stets zu prüfen ist, ob im konkreten Fall andere Vorschriften des EU-Rechts sowie des nationalen Rechts anwendbar sind, die eine Gegenleistung für die Bereitstellung von Daten ausschließen oder die Höhe der zulässigen Gegenleistung weitergehend begrenzen.
- Streitbeilegungsstellen [Art. 10]
Kommt es zu Streitigkeiten über die Einhaltung der Bedingungen oder der Angemessenheit der Gegenleistung, kann der Streit vor eigens dafür eingerichteten Streitbeilegungsstellen beigelegt werden. Entsprechende Stellen sollen hierfür eingerichtet werden.
- Einrichtung geeigneter technischer Schutzmaßnahmen [Art. 11 Abs. 1]
Um unbefugten Zugang zu den bereitzustellenden Daten zu verhindern und die Einhaltung der für die Datenbereitstellung vereinbarten Bedingungen sowie die Rechte und Pflichten aus dem Data Act sicherzustellen, hat der Dateninhaber das Recht geeignete technische Schutzmaßnahmen einzusetzen. Dies können etwa Zugangsbeschränkungen, Veränderungssperren oder ein Kopierschutz sein. Hier sind weitgehende und auch gänzlich neuartige technische Möglichkeiten zulässig, solange diese einzig dazu dienen, die Einhaltung zulässigerweise vereinbarter Bedingungen und bestehender Pflichten abzusichern.
- Plichten bei unbefugter Nutzung oder Offenlegung von Daten [Art. 11 Abs. 2, 3]
Hat ein Datenempfänger unrechtmäßig Daten vom Dateninhaber erlangt, die bereitgestellten Daten für nicht genehmigte Zwecke genutzt oder unberechtigt an Dritte weitergegeben, muss er grundsätzlich unverzüglich die bereitgestellten Daten (inkl. Kopien) vernichten und alle Prozesse, die auf den mit den Daten erlangten Kenntnissen beruhen (z.B. Entwicklung, Produktion oder Vertrieb), beenden sowie alle rechtsverletzenden Waren vernichten.
Dies gilt nicht, wenn der Dateninhaber oder der Nutzer etwas anderes anweist. Unabhängig von einer solchen Anweisung müssen Prozesse, die auf den mit den Daten erlangten Kenntnissen beruhen, nicht beendet und die rechtsverletzenden Waren nicht vernichtet werden, wenn dem Dateninhaber kein erheblicher Schaden entstanden oder die Beendigung bzw. Vernichtung unverhältnismäßig wäre.
- Abweichungsverbot [Art. 12]
Von den allgemeinen Vorschriften des Kapitels III darf weder zum Nachteil des Dateninhabers, des Datenempfängers noch des Nutzers vertraglich abgewichen werden.
Ausblick: Bedeutung für die Praxis
Die Bereitstellung von Daten wird in Zukunft immer mehr an Bedeutung gewinnen: Daten sind der zentrale Baustein für die Produktverbesserung, für die Entwicklung neuer Geschäftsmodelle und für die neue „Souveränität“ im digitalen Umfeld: Verfügen Nutzer frei über ihre Daten, erleichtert dies etwa auch den Angebotswechsel, Login-Effekte werden vermieden. Kapitel III des Data Act zielt auf einen möglichst offenen, fairen Zugang überall dort, wo derartige Zugangsrechte gesetzlich angeordnet sind. Damit enthält der Data Act an dieser Stelle keine Entscheidung darüber, wo Daten bereitzustellen sind. Sehr wohl setzt er aber die Maßstäbe für eine absolut faire Ausgestaltung überall dort, wo solche Zugangsrechte gesetzlich vorgesehen werden. Dies ist umfassend zu begrüßen – zentral wird allerdings sein, die Zugangsrechte mit Bedacht zu wählen und dort die Interessen zwischen der Herrschaft über die Daten auch für eine starke Innovationskraft einerseits und den Zugangsinteressen von Nutzern und Dritten andererseits gut auszutarieren.