Neue EU-Regeln für Datenzugang, Cloud-Nutzung und Vertragsklauseln zur Datenverwendung
Der Umgang mit Daten ist inzwischen für jedes Unternehmen selbstverständlich: Die Nutzung von Cloud-Produkten entlasten die eigene IT-Infrastruktur, Kundenkontakte liegen im zentralen CRM, die Kommunikation läuft über E-Mail und Kollaborationstools, zunehmend enthalten auch die angebotenen Dienstleistungen und Produkte digitale Elemente. Für all diese Anwendungsfälle kommen bald neue Vorgaben aus der EU: Der Data Act, der kurz vor der Veröffentlichung steht, bringt neue Regeln für die Datenwirtschaft. EP und Rat haben ihr ok gegeben, die Verkündung wird für Dezember erwartet. Viele Unternehmen werden von ihm profitieren, etwa, weil Cloud-Anbieter einfacher gewechselt werden können. Etliche Unternehmen und womöglich gerade StartUps und KMU werden aber auch enorm belastet, beispielsweise, weil sie Zugang zu den in ihren Produkten erzeugten Daten in Echtzeit bereitstellen müssen. Hinzu kommt, dass vieles unklar bleibt, auch das Verhältnis zum Datenschutz.
Der Data Act – eine EU-Verordnung, die kurz vor ihrer Veröffentlichung im Amtsblatt der EU und damit ihrem in Kraft treten steht – ist Teil der europäischen Datenstrategie. Er soll die Datenwirtschaft in der Union beflügeln, indem er neue Maßstäbe für den Zugang zu und die Bereitstellung und Nutzung von in der EU erzeugten Daten setzt. Ziel ist es, zu einer fairen, innovativen und effizienten digitalen Wirtschaft in der EU beizutragen.
Für alle, die sich über das, was kommt, gerne mit einem aktuellen Podcast informieren möchten, empfehlen wir die aktuelle Folge der Rechtsbelehrung mit Marcus Richter und Dr. Thomas Schwenke:
Für fast alle Unternehmen wird der Data Act viel ändern, sei es durch neue Pflichten oder auch durch neue Rechte. Betroffen sind sowohl Anbieter als auch Nutzer digitaler Produkte: Der Zugang zu vorhandenen (Industrie-) Daten soll mit dem Data Act erleichtert werden, Rechtssicherheit soll Vertrauen in die gemeinsame Nutzung von Daten fördern und der Abbau von technischen Hindernissen soll den Weg zu einer interoperablen und agilen Datenwirtschaft bereiten. Generell greift der Data Act für personenbezogene und für nicht-personenbezogene Daten, anders, als das Datenschutzrecht, welches nur für personenbezogene Daten gilt.
Als EU-Verordnung gilt der Data Act unmittelbar und bedarf keiner nationalen Umsetzung mehr. Aller Voraussicht nach werden die neuen Regelungen im Herbst diesen Jahres in Kraft treten und dann nach einer Umsetzungsfrist von einem Jahr ab Herbst 2024 unmittelbar gelten. Nach der politischen Einigung im Sommer wird der finale Verordnungstext momentan noch im Detail ausgearbeitet. Die Veröffentlichung wird in Marktkreisen zeitnah erwartet. Die Ausführungen in diesem Beitrag beziehen sich auf den Entwurf zum Data Act (DA-E) nach der politischen Einigung im Trilog vom 14.07.2023, die allerdings noch nicht formal bestätigt ist (geführt unter der Interinstitutionellen File Nr. 2022/0047 (COD)).
Der Data Act (DA) beinhaltet verschiedene Bausteine, die den Datenzugang und die Datennutzung in der Union neu regulieren sollen. Wir stellen Ihnen in unserem Beitrag die wichtigsten Bausteine für die Praxis vor, die je nach dem Tätigkeitsbereich Ihres Unternehmens neue Rechte oder Pflichten begründen werden:
Datenzugang
Anbieter digitaler, vernetzter Produkte müssen Nutzern künftig Zugang zu den bei der Nutzung erzeugten Daten in Echtzeit ermöglichen. Das sind z.B. Anwendungsdaten eines Roboterarms oder die Effizienz eines digitalen Saugers je nach Verwendungsbereich, aber auch Bewegungsdaten in der Map-Anwendung privater Nutzer oder Fahrdaten vom Auto (auch dieses ist inzwischen beinahe vollständig vernetzt). Erfasst werden z.B. Verweildauern oder Login-Daten, Bewegungsmuster bei Standortverarbeitung, Diagnose- und Analysedaten, die aufzeichnen, wie das Produkt bzw. der Dienst genutzt werden.
Der neue Datenzugangsanspruch ist eines der Herzstücke des Data Act und in Kapitel II geregelt. Die Regelungen zum Datenzugang werden künftig fast sämtliche Wirtschaftsbereiche erfassen – sowohl auf Seiten der verpflichteten Dateninhaber, als auch auf Seiten der zugangsberechtigten Datennutzer. In der Praxis ist höchst umstritten, ob dieser Datenzugangsanspruch eine Revolution in der Datenwirtschaft verursachen wird oder aber, wie der Anspruch auf Datenportabilität in der DSGVO, ein Nischendasein ohne echte praktische Anwendungsfälle fristen wird. Die Stimmen für die erhebliche Bedeutung des neuen Zugangsanspruchs überwiegen. Ein wesentlicher Grund dafür ist, dass nicht nur der Nutzer Zugang zu den (für ihn vermutlich oft kaum verwendbaren Rohdaten) erhält. Der Anspruch geht weiter: Nutzer können anweisen, dass der Zugang einem Dritten gewährt wird, also auch einem anderen Unternehmen.
Sinn und Zweck des Zugangsanspruchs ist die Öffnung der Märkte. Ähnlich, wie früher die Autoreparatur letztlich nur in der Vertragswerkstatt erfolgen konnte, ist der Nutzer digitaler Produkte heute für Support, Wartung und Ad-On-Services regelmäßig an den originären Anbieter gebunden. Dies soll sich ändern, der Zugangsanspruch soll den Markt für Ergänzungsangebote öffnen. Für Wettbewerber bleibt er verschlossen: Der Zugangsanspruch soll nicht dazu genutzt werden dürfen, als echter Wettbewerber aufzutreten oder besser zu werden. Auch Geschäftsgeheimnisse sollen geschützt bleiben, wobei die Regelungen im Data Act hierzu überaus dünn sind. Insgesamt zeigt sich hier auch die große Schwäche des Data Act: Der Schutz der Geschäftsgeheimnisse ist nur vage normiert und es wird völlig offen gelassen, ob und wie die Verarbeitung personenbezogener Daten beim Datenzugang datenschutzkonform auszugestalten ist. Die Einhaltung von DSGVO und nationalem Datenschutzrecht obliegt dem Anbieter, der damit auch die nach wie vor bestehende Rechtsunsicherheit zu tragen hat.
Für die Praxis bedeutet dies, dass Anbieter frühzeitig ihre digitalen, vernetzten Produkte überprüfen sollten: Wo müssen Datenzugangsansprüche ab voraussichtlich Herbst 2024 gewährt werden, wie kann ich dies technisch (in Echtzeit) realisieren und welche rechtlichen Rahmenbedingungen sind dabei einzuhalten? Es kommt also ein neues Kapitel hinzu zu „Data Compliance“ oder auch „Digital Compliance“. Unternehmen mit (neuen) Geschäftsideen können gleichzeitig beginnen zu sondieren, welche Daten ihnen für neue Produkte und Dienstleistungen nutzen würden und eine Strategie entwickeln, wie sie Produktanwender davon überzeugen, ihren Datenzugangsanspruch zugunsten des Unternehmens geltend zu machen.
Wechsel zwischen Datenverarbeitungsdiensten: Cloud-Switching
Erhebliches Potential für die Datenwirtschaft steckt auch in den Regelungen zur Datenportabilität in Kapitel VI Data Act. Diese Regelungen sollen Kunden den Wechsel zwischen Datenverarbeitungsdiensten ermöglichen oder jedenfalls erleichtern und LockIn-Effekte reduzieren und vermeiden.
Mit den adressierten Datenverarbeitungsdiensten sind digitale Dienste wie z.B. Cloud-Dienste, Betriebssysteme oder Softwaredienste gemeint. Der Unionsgesetzgeber hatte hier in erster Linie markbeherrschende Digitalunternehmen, wie z.B. Amazon, Google, Microsoft oder SAP im Sinn, die mit ihren Cloud-Anwendungen die Grundlage für unzählige digitale Angebote bilden, etwa CRM-Systeme oder andere App-Anwendungen, die auf Microsoft Azure, bei AWS oder einer anderen IT-Landschaft aufgebaut und gehostet sind. Der Data Act beschränkt sich aber nicht auf große Anbieter: verpflichtet zum Cloud-Switching ist jeder Anbieter von Datenverarbeitungsdiensten, auch kleine Unternehmen oder StartUps.
Mit der Möglichkeit zum Wechsel zwischen solchen Datenverarbeitungsdiensten will der Unionsgesetzgeber einen wettbewerbsfähigeren Markt mit leichteren Zugangsmöglichkeiten für neue Dienstanbieter auf dem Markt der Cloud- und Edge-Anbieter. Eine damit einhergehende Einschränkung der Rechtspositionen von Datenverarbeitungsdiensten wird mit der Bekämpfung der Lock-in-Effekte auf dem Cloud- und Edge-Markt gerechtfertigt: Kunden sollen nicht an einen bestehenden Datenverarbeitungsdienstanbieter gebunden sein (müssen), weil ein Wechsel mit finanziellem oder praktischem Aufwand verbunden ist. Viele Unternehmen werden hiervon profitieren, da kaum ein Unternehmen ohne die Nutzung von Cloud- und Edge-Services agiert.
Die künftigen Regelungen reichen weitgehend von (vertraglichen) Vorgaben zu kurzfristigen Kündigungsrechten über Migrationsvorgaben bis hin zu der schrittweisen Abschaffung von Wechselentgelten. Hierzu macht der Data Act Vorgaben, dass die Verträge der Datenverarbeitungsdienste spezielle Klauseln enthalten müssen, die ihren Kunden den Wechsel zu einem anderen Datenverarbeitungsdienst erleichtern.
Keine Datenverarbeitungsdienste im Sinne des Data Act sind jedoch Online-Inhaltedienste: Bei solchen handelt es um online erbrachte, audiovisuelle Mediendienste mit redaktioneller Verantwortung und lineare Rundfunkangebote. Hier gelten keine Vorgaben für einen vereinfachten Wechsel.
Interoperabilität
Die Vorgaben zur Datenportabilität werden ergänzt mit den Regelungen zur Interoperabilität in Kapitel VIII des Data Act. Interoperabilität beschreibt die Fähigkeit unterschiedlicher Systeme, nahtlos zusammenzuarbeiten, also etwa Daten untereinander auszustauschen. Die Pflicht zur Herstellung einer verbesserten Interoperabilität ist wesentlicher Bestandteil der EU-Digitalstrategie: Ein „Binnenmarkt der Daten“ ist umso besser erreichbar, umso einfacher Daten gehandelt, ausgetauscht und gegenseitig genutzt werden können.
Der Data Act sieht dafür vor, dass Betreiber von Datenräumen grundlegende Interoperabilitätsanforderungen erfüllen müssen. Dies betrifft die genaue Beschreibung von, u.a. dem Inhalt der Datensätze, Nutzungsbeschränkungen, Lizenzen, damit der Empfänger die Daten finden, darauf zugreifen und sie nutzen kann. Datenverarbeitungsdienste müssen bestimmte Spezifikationen einhalten und u.a. die Übertragbarkeit digitaler Bestände zwischen verschiedenen Datenverarbeitungsdiensten, die denselben Diensttyp abdecken, verbessern.
Intelligente Verträge (smart contracts) müssen ebenfalls bestimmte Anforderungen einhalten, u.a. so konzipiert sein, dass eine Manipulation durch Dritte ausgeschlossen wird oder eine Datenarchivierung der Transaktionsdaten, der Logik und des Codes des intelligenten Vertrags vorgesehen ist, um die Aufzeichnung der in der Vergangenheit an den Daten durchgeführten Operationen abzubilden.
Vertragliche Regelungen zur Datenverwendung
Schließlich sieht der Data Act in Kapitel IV Vorkehrungen gegen die Verwendung missbräuchlicher Klauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen vor. An den entsprechenden Regelungen werden sich vertragliche Vereinbarungen über den Zugang zu Daten und ihre Nutzung, Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten messen lassen müssen. Ursprünglich sollte diese Vertragskontrolle nur zugunsten von KMU greifen. Hier haben sich jedoch Parlament und Rat durchgesetzt: Erweisen sich entsprechende Klauseln in künftigen Verträgen als missbräuchlich, entfalten sie gegenüber allen Unternehmen keine Wirksamkeit. Die EU-Kommission soll hier auch Mustervertragsklauseln für Datenzugang und Datennutzung ausarbeiten, um den Abschluss wirksamer Verträge zu erleichtern.
Daten für die öffentliche Hand
In seinem Kapitel V gibt der Data Act staatlichen Stellen ein Instrument in die Hand, um in Situationen einer „außergewöhnlichen Notwendigkeit“ Unternehmensdaten einfordern und verwenden zu können. Sie sollen so besser befähigt werden, auf öffentliche Ausnahmezustände zu reagieren. Mit den Situationen der „außergewöhnlichen Notwendigkeit“ sind Notfälle gemeint, die eine Gefährdung der Lebensbedingungen oder der wirtschaftlichen Stabilität in einem oder mehreren Mitgliedstaaten darstellen. Es geht dabei um Notlagen im Bereich der öffentlichen Gesundheit, Naturkatastrophen sowie um menschengemachte Notfälle wie Cyberangriffe oder Terroranschläge. In solchen Fällen sollen staatliche Stellen künftig also beispielsweise die Preisgabe der Daten von Telekommunikationsanbietern verlangen, um Menschenansammlungen zu erkennen, wie dies etwa in der Corona-Pandemie auf freiwilliger Basis erfolgte.
Die angefragten Unternehmen haben nur eingeschränkt das Recht, die Datenauskunft zu verweigern, etwa weil die angeforderten Daten gar nicht erst vorhanden sind, die Formanforderungen der Anfrage nicht erfüllt sind, oder die Daten zuvor bereits einer anderen öffentlichen Stelle übermittelt worden sind.
Umbruch für die Datenwirtschaft: Und es kommt noch mehr
Der Data Act bringt wichtige Bausteine, um die Datenwirtschaft in der EU zu beleben und für einen fairen und transparenten Ausgleich zu sorgen. Im Detail verbleiben jedoch viele Unklarheiten, die die Umsetzung des Data Acts erschweren und zu erheblichen Belastungen der adressierten Unternehmen führen dürften. Die mit dem Data Act gewünschte Belebung Innovationskraft läuft Gefahr durch dessen unklare Verknüpfung mit dem Daten- und Geheimnisschutz gebremst statt gefördert zu werden.
Hinzu kommt die kurze Umsetzungsfrist: Bis zum Herbst 2024 bleibt nicht annähernd genug Zeit, um die bestehenden Unsicherheiten in breit anerkannte und praktische Lösungen umzusetzen.
Zudem stehen schon weitere Regelungen vor der Tür: Aktuell laufen die Trilogverhandlungen zum KI-Verordnungsentwurf auf Hochtouren. Es erscheint noch möglich, dass eine Einigung zum Jahreswechsel vor den 2024 anstehenden EU-Parlamentswahlen erzielt wird. Die KI-Verordnung enthält risikoorientiert spezifische Pflichten für Anwendungen künstlicher Intelligenz, von einem generellen Verbot für Höchst-Risikoanwendungen bis zu niedrigschwelligen Compliance-Anforderungen für KI-Anwendungen mit niedrigem Risiko.