Hannover, 30.04.2024 | Am 22. Dezember 2023 ist der Data Act in Kraft getreten. Ab dem 12. September 2025 ist er unionsweit direkt anwendbar. Verglichen mit dem Gesetzesentwurf vom Februar 2022 (HP Compact „Der Europäische Data Act“, April 2022) weist die endgültige Fassung auch für kleine und mittlere Unternehmen wichtige Neuerungen auf. Dieser Beitrag vermittelt eine aktualisierte Übersicht über die neuen Regelungen des Data Acts.
Der Europäische Data Act: Aktualisierung 2024
Antonia Herfurth, LL.M., Rechtsanwältin in München und Hannover
Ziel des Data Acts
Das Ziel des Data Acts ist eine faire Verteilung des Datenwerts auf die Akteure der Datenwirtschaft. Zu diesem Zweck schreibt er den fairen Zugang und die faire Nutzung von Daten vor sowie Datenportabilität und Interoperabilität zwischen unterschiedlichen Diensteanbietern. Damit soll die Konzentration von Daten in den Händen weniger marktmächtiger Unternehmen verhindert und der Wettbewerb gefördert werden. Nutzer sollen mehr Kontrolle über die von ihnen generierten Daten erhalten und der öffentliche Sektor Zugang zu Daten haben, die notwendig sind, um politische und gesellschaftliche Herausforderungen zu bewältigen, wie beispielsweise die Corona-Pandemie.
Datennutzer und Dateninhaber
Der Data Act definiert den „Nutzer“ als eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt, mietet oder least, oder eine Dienstleistung in Anspruch nimmt. Die Eigenschaft des „Datennutzers“ knüpft an die vertragliche Beziehung zum Gerät an.
„Dateninhaber“ ist die juristische oder natürliche Person, die gesetzlich berechtigt oder verpflichtet ist, bestimmte Daten zur Verfügung zu stellen, oder im Falle nicht-personenbezogener Daten durch die Kontrolle der technischen Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist. Einfach formuliert: Dateninhaber ist derjenige, der die technische de facto Kontrolle über die Daten hat.
Der Data Act geht also davon aus, dass Daten nicht in der Hand des Nutzers liegen, sprich in der Hand des Datenerzeugers, sondern in der Hand des datenverarbeitenden Unternehmens.
Datenzugang und -nutzung
Aus diesem Grund schafft der Gesetzesentwurf ein Recht auf Datenzugang und -nutzung zugunsten von datengenerierenden Nutzern.
Produkte und Dienste sollen derart gestaltet sein, dass Nutzer zu den von ihnen generierten Daten Zugang haben, und zwar einfach, sicher, unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt. Hat der Nutzer keinen direkten Zugang, muss der Dateninhaber ihm auf Anfrage unverzüglich, unentgeltlich und gegebenenfalls kontinuierlich und in Echtzeit Zugang gewähren. Gelten für das vernetzte Produkt gesetzliche Sicherheitsanforderungen, die durch die Weitergabe von Daten beeinträchtigt werden, können der Zugang, die Nutzung und die erneute Weitergabe von Daten vertraglich beschränkt werden.
Zusätzlich sieht der Data Act Informationspflichten gegenüber dem Nutzer vor, und zwar bevor der Nutzer das datengenerierende Produkt bzw. die Dienstleistung kauft, mietet oder leiht. Beispielsweise muss er informiert werden über:
- Natur und Umfang der von dem Produkt generierten Daten,
- ob Daten kontinuierlich generiert werden und in Echtzeit,
- Zugangsmöglichkeiten des Nutzers zu den Daten,
- ob der Hersteller oder Dienstleister beabsichtigt, die Daten selbst zu verwenden oder dies einem Dritten zu gestatten, und wenn ja, für welche Zwecke,
- Identität und Kontaktdaten des Dateninhabers.
Auf Anfrage des Datennutzers muss der Dateninhaber seine Daten mit Dritten teilen. Diese sog. Datenempfänger dürfen die Daten nur zu den Zwecken und unter den Bedingungen verarbeiten, die mit dem Nutzer vereinbart sind. Ist der Dateninhaber verpflichtet, Daten einem Datenempfänger zugänglich zu machen, hat er dies unter fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise zu tun. Etwaige Vergütungen müssen angemessen sein. Können sich Dateninhaber und Datenempfänger nicht auf einen fairen Datennutzungsvertrag einigen, sieht der Data Act Streitbeilegungsstellen vor. Dateninhaber dürfen nicht-personenbezogene Produktdaten Dritten zu keinen anderen kommerziellen oder nicht-kommerziellen Zwecken als zur Erfüllung ihres Vertrags mit dem Nutzer bereitstellen. Gegebenenfalls werden Dritte von Dateninhabern vertraglich verpflichtet, die von ihnen erhaltenen Daten nicht erneut weiterzugeben.
Der Anspruch auf Datenzugang soll nicht gegen kleine und Kleinstunternehmen geltend gemacht werden.
Verbot missbräuchlicher Vertragsklauseln
Der Data Act stipuliert, dass missbräuchliche Klauseln in Datennutzungsverträgen, die einem Unternehmen einseitig auferlegt werden, für dieses nicht bindend sind. Anders als in dem alten Entwurf des Data Acts, gilt diese Regelung nicht nur gegenüber kleinen und mittleren Unternehmen, sondern unabhängig von der Unternehmensgröße. In Artikel 13 des Data Acts hat die EU einen sog. unfairness test eingeführt. Danach ist eine Vertragsklausel missbräuchlich, wenn sie in grober Weise von der guten Handelspraxis abweicht oder gegen Treu und Glauben verstößt. Diese Allgemeinregel wird ergänzt durch eine Liste von Klauseln, die insbesondere als missbräuchlich gelten, und eine abschließende Liste von Klauseln, die als missbräuchlich gelten. Außerdem soll die Europäische Kommission unverbindliche Mustervertragsklauseln entwickeln, auf die die Parteien zurückgreifen können, ähnlich den Standardvertragsklauseln im Datenschutzrecht.
Datenportabilität
Es ist üblich, dass Anbieter von Datenverarbeitungsdiensten den Wechsel von Kunden zu einem konkurrierenden Diensteanbieter behindern durch, z.B., lange Kündigungsfristen oder das Erschweren der Portabilität der Daten. Indem der Wechsel möglichst umständlich gestaltet wird, werden Kunden an den bestehenden Anbieter gebunden, sog. Lock-in-Effekt. Der Data Act sieht vor, dass Kunden von einem Datenverarbeitungsdienst zu einem anderen Datenverarbeitungsdienst, der dieselbe Art von Dienst umfasst, wechseln können ohne durch kommerzielle, technische, vertragliche und organisatorische Maßnahmen behindert zu werden.
Die Rechte des Kunden müssen in einem schriftlichen Vertrag festgelegt werden. Der Vertrag muss mindestens bestimmen, dass der Kunde das Recht hat, den Anbieter innerhalb von 30 Tagen zu wechseln. Der Anbieter muss den Kunden beim Wechsel unterstützten und weiterhin seine Dienste uneingeschränkt erbringen. Während des Wechsels muss der Anbieter für ein hohes Maß an Sicherheit der Daten sorgen, insbesondere während der Übertragung und des späteren Abrufzeitraums. Außerdem muss der Anbieter alle Kategorien von Daten und digitalen Vermögenswerten auflisten, die während des Wechselvollzugs übertragen werden können, einschließlich mindestens aller exportierbaren Daten. Zu denken ist hier insbesondere an Sicherheitseinstellungen, Zugriffsrechte und Zugriffsprotokolle auf den Dienst. Gibt der Diensteanbieter an, ein Wechsel innerhalb von 30 Tagen sei technisch nicht zu vollziehen, muss er dies dem Kunden innerhalb von 14 Tagen mitteilen. Der Anbieter trägt die Beweislast. Der Wechsel muss spätestens innerhalb von sieben Monaten nach Kundenanfrage vollzogen werden. Im Sinne einer fairen Geschäftsbeziehung verpflichtet der neue Gesetzestext alle Parteien, nach Treu und Glauben zu handeln.
Für den Wechsel darf der Diensteanbieter keine Kosten gegenüber dem Nutzer erheben. Das gilt nach einer Übergangsphase von drei Jahren nach Inkrafttreten des Data Acts.
Interoperabilität
Der Data Act legt grundlegende Anforderungen an die Interoperabilität für Betreiber von Datenräumen und Anbieter von Datenverarbeitungsdiensten fest. Hier bezieht sich der Gesetzesentwurf insbesondere auf Cloud Computing. Durch einheitliche Standards können Daten besser ausgetauscht werden und Mechanismen zur gemeinsamen Datennutzung besser zusammenarbeiten. Ebenso legt der Data Act grundlegende Anforderungen an smart contracts fest. Diese helfen den Vertragsparteien zu garantieren, dass die vereinbarten Datennutzungsbedingungen eingehalten werden. Für Cloud Computing- und Edge Computing-Anbieter gelten auch die Regeln der Datenportabilität, insbesondere muss ein Wechsel des Diensteanbieters innerhalb von 30 Tagen möglich sein und darf nicht durch Alt-Anbieter künstlich erschwert werden.
Datenzugang aufgrund außergewöhnlicher Umstände
Dateninhaber müssen dem öffentlichen Sektor Daten zugänglich machen aufgrund außergewöhnlicher Umstände. Außergewöhnliche Umstände sind beispielsweise öffentliche Notfälle oder wenn das Fehlen der Daten eine öffentliche Institution daran hindert, einer Aufgabe im öffentlichen Interesse nachzukommen und die Daten nicht auf andere Weise beschafft werden können. Diesbezüglich enthält die neue Fassung des Data Acts eine wichtige Neuerung: Der Anspruch auf Datenbereitstellung gilt nun auch gegenüber Dateninhabern, die kleine oder Kleinstunternehmen sind. Sind dem Dateninhaber durch die Zurverfügungstellung Kosten in technischer oder organisatorischer Hinsicht entstanden, sind diese erstattungsfähig. Dies gilt jedoch nicht für die Bereitstellung von Daten durch mittlere und große Unternehmen im Fall eines öffentlichen Notstandes.
Die öffentliche Institution darf die Daten nur zu dem von ihr angegebenen Zweck nutzen. Handelt es sich um personenbezogene Daten, muss sie technische und organisatorische Maßnahmen zum Schutz der betroffenen Person vornehmen und die Daten vernichten, sobald sie für die Erfüllung des Zwecks nicht mehr nötig sind. Handelt es sich um Geschäftsgeheimnisse, soll die öffentliche Institution diese nur als letztes Mittel anfragen und auch nur im geringsten Maße. Dabei muss sie angemessene Maßnahmen vornehmen, um die Vertraulichkeit des Geschäftsgeheimnisses sicherzustellen. Der Datenzugang kann im Einzelfall abgelehnt werden, wenn die Offenlegungen eines Geschäftsgeheimnisses trotz der vorgesehenen Schutzmaßnahmen mit hoher Wahrscheinlichkeit zu schweren wirtschaftlichen Schäden führen würde.
Internationaler Schutz nicht-personenbezogener Daten
Datenverarbeitungsdienste sollen nicht-personenbezogene Daten nicht an Drittländer herausgeben oder diesen Zugang gewähren, wenn dadurch ein Konflikt mit dem Unionsrecht oder dem nationalen Recht des betroffenen Mitgliedstaates entstehen würde. Basiert die Anfrage auf der Entscheidung eines Gerichts oder einer Behörde und auf einem internationalen Vertrag, soll die Entscheidung anerkannt und vollzogen werden. Basiert sie nicht auf einem internationalen Vertrag, soll der Anfrage nur in Ausnahmefällen nachgekommen werden, z.B. zu Zwecken der Strafverfolgung.
Fazit
Der europäische Gesetzgeber hat mit dem Data Act eine weitere Maßnahme eingeführt, die die faktische Kontrolle monopolistischer Dateninhaber schwächt und die Position datengenerierenden Nutzer stärkt. Die regulatorischen Maßnahmen der letzten Jahre zeigen, dass die EU die gegenwärtigen einseitigen Strukturen des Datenmarkts aufbrechen und damit Chancen für Innovation und Wettbewerb in der Datenwirtschaft schaffen will. Im Zusammenhang mit Rechten an Daten wurden Diskussionen um die Einführung eines Dateneigentums geführt, dem ist die EU im Data Act nicht nachgekommen. Vielmehr scheint eine Verschiebung in Richtung data sharing stattzufinden, es der EU also mehr um Datensouveränität zu gehen.
Es bleibt abzuwarten, wie sich der Data Act in der Praxis etablieren wird. Beispielsweise ist nicht geregelt, wie mit überlappenden Nutzungsrechten an Daten umzugehen ist. Gut vorstellbar ist, dass jeder die Daten nutzen können soll, die er zur Erfüllung seiner Dienste benötigt, beispielsweise eine Autowerkstatt die Daten, die sie für die Reparatur eines Fahrzeugs benötigt.