Ende Februar veröffentlichte die Europäische Kommission den seit langem angekündigten Verordnungs-Entwurf des Data Acts. Dieser soll einen neuen Rechtsrahmen für die Daten Economy geben und für mehr Innovation und Wettbewerb in der Datenwirtschaft der EU sorgen. Dieser Beitrag gibt einen Überblick über die vom Gesetzesentwurf adressierten Regelungsbereiche.
Hintergrund
Die EU sieht in Daten eine Kernkomponente der digitalen Wirtschaft und eine wichtige Ressource, um den digitalen Wandel zu sichern. Der Entwurf des Data Acts (nachfolgend „DA-E“) ist eine zentrale Säule der Europäischen Datenstrategie von Februar 2020 und nach dem Entwurf für einen „Data Governance Act“ die zweite große Initiative.
In der EU gibt es bisher kein Eigentums- oder sonstiges Ausschließlichkeitsrecht am einzelnen Datum. Das Datenschutzrecht regelt nur den Umgang mit personenbezogenen Daten und dies nur unter dem Gesichtspunkt des Schutzes der Persönlichkeitsrechte der betroffenen Personen. Antworten auf die Frage, wer zur wirtschaftlichen Nutzung von Daten berechtigt sein soll, ergeben sich aus der Datenschutz-Grundverordnung (DS-GVO) und anderen Datenschutzgesetzen allenfalls als Reflex. Daher kam bislang demjenigen die Kontrolle über Daten zu, der rein faktische Zugriffsmöglichkeiten auf die Daten hat. Im Internet of Things-Kontext vernetzter Geräte („IoT-Produkte“) ist dies in aller Regel der Gerätehersteller (siehe auch unseren Beitrag zum Datenpooling zwischen Unternehmen). Durch diese faktische Kontrolle des Geräteherstellers sieht die EU-Kommission eine Behinderung des fairen Wettbewerbs um Aftermarket-Dienstleistungen für IoT-Produkte. Denn essentiell für die Entwicklung und Erbringung solcher Dienstleistungen ist der Zugriff auf von IoT-Produkten generierte Daten. Der Data Act will dies nun ändern.
Ziel des Entwurfs ist es, Fairness bei der Verteilung von Daten zu gewährleisten und den Zugang zu und den Nutzen von Daten zu fördern. Ein „Dateneigentum“ schafft der Entwurf nicht, sondern setzt – im Gegenteil – auf eine Öffnung des Zugangs zu Daten für Dritte.
Der Entwurf widmet sich dabei einer Vielzahl der offenen Themen im Bereich der industriellen Nutzung von personenbezogenen und nicht-personenbezogenen Daten. Dazu gehören im Wesentlichen die folgenden Regelungsbereiche:
- Anspruch der Nutzer von IoT-Produkten auf Zugang zu nutzergenerierten Daten
- Verbot „unfairer“ Standardvertragsklauseln in Datennutzungsverträgen
- Datenzugangsansprüche öffentlicher Stellen
- Erleichterung des Wechsels des Datenverarbeitungsdienstes
- Anforderungen an die Interoperabilität von Datendiensten
Dort wo es (auch) um personenbezogene Daten geht, tritt der DA-E neben die DS-GVO und die anderen Datenschutzgesetze und schränkt deren Anwendbarkeit und Vorgaben nicht ein. Für die wirtschaftliche Nutzung von personenbezogenen Daten gelten daher auch nach dem Inkrafttreten des Data Act strenge Beschränkungen.
Anspruch auf Zugang zu nutzergenerierten Daten, Art. 3-7 DA-E
Art. 4 DA-E räumt dem Nutzer eines datengenerierenden Produktes einen Anspruch gegen den Dateninhaber auf Zugriffsgewährung der durch die Nutzung eines Produktes oder eines damit verbundenen Dienstes generierten Daten ein. Dateninhaber („data holder“) ist hierbei u.a. derjenige, der durch die Kontrolle der technischen Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist, Daten zur Verfügung zu stellen. Nutzer („user“) ist jede natürliche oder juristische Person, die Eigentümer des Produktes ist, es mietet oder least oder eine Dienstleistung bezieht. Nach der weiten Definition des Nutzers kommen insbesondere bei Mehrpersonenkonstellationen (z.B. bei Car Sharing Diensten), mehrere Personen als Anspruchsinhaber in Betracht. Handelt es sich bei dem Nutzer nicht zugleich um die betroffene Person im Sinne des Datenschutzrechts (das „Data Subject“), darf ihm Zugang zu personenbezogenen Daten nur gewährt werden, wenn dafür zusätzlich auch eine Rechtsgrundlage nach der DS-GVO vorliegt (im Regelfall eine Einwilligung des Data Subjects oder ein Vertag zwischen Data Subject und Nutzer).
Die generierten Daten sind unverzüglich, unentgeltlich und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung zu stellen.
Unbeteiligte Dritte, die keine Nutzer sind, haben zwar keinen direkten Anspruch gegen den Dateninhaber auf Zugangsgewährung zu den generieten Daten. Allerdings kann der Nutzer nach Art. 5 DA-E solche unbeteiligten Dritte ermächtigen, das Zugangsrecht in seinem Namen geltend zu machen. Diese Regelung ergänzt den nach Art. 20 DS-GVO bestehenden Anspruch von betroffenen Personen auf „Datenportabilität“, d.h. das Recht, von einem Anbieter die Herausgabe der eigenen personenbezogenen Daten an einen anderen Anbieter zu fordern. Hierdurch bietet der Data Act ein enormes Potential, den Markt für connected services und Aftermarket-Dienstleistungen für neue Marktbeteiligte zu öffnen und Wettbewerb zu fördern. Z.B. könnten im Automotive Bereich Dritte künftig über den Nutzer auf die vom sog. connected Car generierten und bisher überwiegend dem Hersteller zur Verfügung stehenden Daten neue Servicedienstleistungen anbieten, wie z.B. neuartige Versicherungspläne oder Reparaturservices.
Dritte dürfen die vom Dateninhaber übermittelten Daten nur zu dem mit dem Nutzer vereinbarten Zweck verarbeiten und müssen die Daten löschen, wenn sie für den vereinbarten Zweck nicht mehr erforderlich sind. Das gilt für personen- wie für nicht-personenbezogene Daten.
Die Modalitäten der Datenbereitstellung durch den Dateninhaber an Dritte ist in Kapitel 3 DA-E geregelt. Insbesondere hat die Datenbereitstellung unter fairen, angemessenen und diskriminierungsfreien Bedingungen zu erfolgen (Art. 8 DA-E). Die genauen Voraussetzungen und Umstände der im Data Act enthaltenen Datenzugangsansprüche sowie deren Potentiale für die Wirtschaft werden im Rahmen dieser Reihe in einem eigenen Beitrag noch ausführlich beleuchtet.
Der Zugangsanspruch des Nutzers ist flankiert durch die Pflicht des Herstellers, IoT-Produkte so zu konstruieren, dass der Datenzugriff für den Nutzer möglichst einfach, sicher und (wenn möglich) direkt erfolgen kann, Art. 3 DA-E. Dies kann zu einigem Anpassungsbedarf führen. Darüber hinaus sind Kunden vor Vertragsschluss Informationen über die durch das Gerät generierten Daten, Zugangsmöglichkeiten des Kunden und mögliche Weitergabe dieser Daten an Dritte bereitzustellen. Damit wird die bisher schon nach Art. 13, 14 DS-GVO bestehende Pflicht zur Information über die Erhebung und Verarbeitung von personenbezogenen Daten zu informieren, auf nicht-personenbezogene Daten erweitert und erheblich ausgedehnt.
Verbot „unfairer“ Vertragsbestimmungen in Standard-Datenlizenzverträgen mit kleinsten, kleinen oder mittleren Unternehmen, Art. 13 DA-E
Ein weiterer wesentlicher Bestandteil des Data Acts ist das Verbot „unfairer“ Vertragsklauseln in Standard-Datenlizenzverträgen mit kleinsten, kleinen und mittleren Unternehmen (KMU). Damit soll gewährleistet werden, dass auch kleinere Unternehmen oder Start-Ups durch die Datennutzung innovative digitale Geschäftsmodelle entwickeln können. Denn solche Unternehmen sehen sich in der Regel „Take-it-or-leave-it“ Situationen ausgesetzt (Erw.52).
Angelehnt an das AGB-Recht ist nach dem Auffangtatbestand eine Standardklausel dann als „unfair“ anzusehen, wenn ihre Verwendung in grober Weise von der guten kaufmännischen Praxis des Datenzugangs und der Datennutzung abweicht, Art. 13 (2) DA-E.
Daneben listet Art. 13 DA-E Standardklauseln auf, die stets als unfair gelten (Art. 13 (3) DA-E) und solchen Klauseln, bei denen vermutet wird, dass diese unfair sind (Art. 13 (4) DA-E). Letzteres betrifft etwa Klauseln, die dem Verwender einseitig den Zugriff auf die Daten der anderen Vertragspartei und deren Verwendung in einer Weise gestatten, die die berechtigten Interessen der anderen Vertragspartei erheblich beeinträchtigt. Ebenso soll eine Klausel, die die andere Vertragspartei daran hindert, während der Vertragslaufzeit eine Kopie der von ihr bereitgestellten oder generierten Daten zu erlangen, vermutet unwirksam sein. Die zahlreichen in Art. 13 DA-E aufgelisteten Klauselanforderungen können für zukünftige und bestehende Verträge im Datenkontext von erheblicher Bedeutung sein.
Die EU-Kommission plant darüber hinaus, unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung zu entwickeln und bereitzustellen, an denen sich die Parteien orientieren können, Art. 34 DA-E.
Datenzugangs- und -nutzungsanspruch öffentlicher Stellen im Falle „außergewöhnlichen Bedarfs“, Art. 14-22 DA-E
In einem weniger wirtschaftlichen Zusammenhang regelt der Data Act außerdem, dass Dateninhaber im Falle eines außergewöhnlichen Bedarfs einer öffentlichen Institution auf deren Anfrage ihre Daten zur Verfügung stellen müssen. Als einen solchen außergewöhnlichen Bedarf benennt Art. 15 DA-E neben dem öffentlichen Notstand oder dessen Verhinderung auch die Situation, dass die öffentliche Institution aufgrund fehlender Daten nicht in der Lage ist, eine bestimmte, im Interesse der Allgemeinheit liegende Aufgabe durchzuführen. Voraussetzung für den Zugangsanspruch ist weiter, dass die öffentliche Stelle sich die Daten nicht anderweitig beschaffen konnte, etwa durch privatrechtlichen Erwerb oder der Inanspruchnahme anderer gesetzlicher Regelungen, über die Datenzugang verlangt werden kann und das neue gesetzliche Regelungen in diesem Zusammenhang nicht mehr rechtzeitig erlassen werden können. Damit ist der Anwendungsbereich eingeschränkt. Soweit sich eine Anfrage auf die Bereitstellung personenbezogener Daten bezieht, soll die öffentliche Institution nach den Erwägungsgründen des DA-E darlegen, dass die Datenschutzrechtlichen Voraussetzungen ebenfalls erfüllt sind.
Weiterhin regelt der Data Act die Voraussetzungen der Geltendmachung und Erfüllung dieses Anspruchs sowie die Rechtsschutzmöglichkeiten, die einem angefragten Dateninhaber zustehen. Dem Dateninhaber steht grundsätzlich ein Erstattungsanspruch der ihm in technischer und organisatorischer Hinsicht für die Zurverfügungstellung der Daten entstandenen Kosten zu.
Der Zugangsanspruch soll nicht gegen kleinste und kleine Unternehmen geltend gemacht werden können.
Erleichterung des Anbieterwechsels im Bereich der Datenverarbeitungsdienstleistungen, Art. 23-26 DA-E
Der Data Act möchte weiterhin den Wechsel zwischen Datenverarbeitungsdiensten wie Cloud und Edge Diensten erleichtern, um Lock-in-Effekte auf diesem Markt zu begegnen.
Anbieter von Datenverarbeitungsdienstleistungen müssen nach Art. 23 DA-E sicherstellen, dass ihre Kunden unkompliziert zu einem anderen Anbieter desselben Dienstes wechseln können. Insbesondere haben die Anbieter von Datenverarbeitungsdiensten kommerzielle, technische, vertragliche und organisatorische Hindernisse zu beseitigen, die die Kunden daran hindern
- den Vertrag mit einer Kündigungsfrist von höchstens 30 Tagen zu kündigen;
- einen neuen Vertrag mit einem anderen Anbieter zu schließen;
- Daten, Anwendungen und sonstigen digitalen Güter zu einem anderen Anbieter zu portieren;
- nach dem Wechsel zu einem anderen Anbieter ein Mindestmaß an Funktionalitäten des bisherigen Dienstes in Anspruch zu nehmen.
Art. 25 DA-E sieht ein Verbot zur Erhebung von Wechselkosten vor; das Verbot soll nach einer Übergangsphase von drei Jahren nach Inkrafttreten gelten.
Die Regelungen zur Erleichterung des Wechsels könnte die Umstellung der Geschäftsmodelle von Cloud- und Edge-Anbietern zur Folge haben und gleichzeitig den Wettbewerb in diesem Bereich stärken.
Anforderungen an Interoperabilitätsherstellung, Art. 28-30 DA-E
Schließlich befasst sich der Data Act auch noch mit der Interoperabilität von Datendiensten.
Art. 28 DA-E verpflichtet Betreiber von Datensystemen („data spaces“), einige grundlegende Anforderungen (wie die öffentliche Bereitstellung von Angaben über die verwendeten Datenformate und die für einen Datenzugriff erforderlichen Anwendungsprogrammierschnittstellen) zu erfüllen, um die Interoperabilität von Daten und Mechanismen zur gemeinsamen Datennutzung zu erleichtern. Die Kommission wird darüber hinaus ermächtigt, diese grundlegenden Anforderungen gesetzlich weiter zu spezifizieren, Guidelines in Bezug auf diese zu veröffentlichen und europäische Standardisierungsorganisationen mit der Entwicklung harmonisierter Standards für Interoperabilitätsgrundlagen zu beauftragen.
In Bezug auf Interoperabilität von Datenverarbeitungsservices und smart contracts sehen Art. 29 und 30 DA-E bereits konkrete Aspekte vor, die von zukünftigen öffentlichen Interoperabilitätsspezifikationen adressiert werden sollen. Die ansonsten allgemein gehaltenen Regelungen in diesem Zusammenhang zielen darauf ab, in verschiedenen Sektoren und Anwendungsbereichen der Datenökonomie auf Grundlage des Gesetzes Interoperabilität herstellen zu können. Dies könnte einen wichtigen Grundstein auf dem Weg zu unbeschränkt interoperablen Datendiensten darstellen, sodass zukünftig die Vernetzung verschiedener Dienste möglich und so die Entwicklung neuartiger Daten-Services umsetzbar wäre.
Ausblick
Die bisherige Resonanz auf den Data Act spricht bereits vielzählig von einem Paradigmenwechsel hinsichtlich des Zugangs zu und der Nutzung von Daten. Insbesondere für Hersteller vernetzter Produkte und Anbieter von Datenverarbeitungsservices könnte die Einführung des Data Acts erhebliche Änderungen ihres Geschäftsbetriebs und -modells bedeuten. Zwar hat sich der Data Act nicht für die Einführung eines „Dateneigentums“ entschieden, aber die Verfügungsgewalt der Nutzer über die durch das IoT-Produkt generierten Daten unabhängig von deren Personenbezug gestärkt und gleichzeitig die Rechte desjenigen, der die faktische Kontrolle über die Daten hat (in der Regel der Hersteller) eingeschränkt.
Für Innovation und Wettbewerb in der Datenwirtschaft könnte der Data Act damit förderlich sein. Mit einem Inkrafttreten des Gesetzes ist indes nicht vor 2023 zu rechnen.