Hannover, 26.04.2022 | Am 23. Februar 2022 hat die Europäische Kommission den Gesetzesentwurf für den Data Act veröffentlicht. Gemeinsam mit dem Data Governance Act bildet der Data Act ein Legislativpaket unter der Europäischen Datenstrategie. Bisher standen nur personenbezogene Daten im Fokus der Diskussionen, nicht-personenbezogene Daten sind in der EU kaum reguliert. Die zwei neuen Gesetzesentwürfe treffen nun Regelungen zu personenbezogenen und nicht-personenbezogenen Daten. Das Besondere am Data Act ist, dass er Individuen und Unternehmen die Kontrolle über die von ihnen generierten nicht-personenbezogenen Daten zuweist.
Der Europäische Data Act
Antonia Herfurth, Rechtsanwältin in München und Hannover
Daten sind eines der wichtigsten Wirtschaftsgüter der heutigen Zeit. Mangels existierender Regelungen für nicht-personenbezogene Daten, bestehen viele Unklarheiten dahingehend, wann Daten generiert werden, welche Daten generiert werden oder auch wer die generierten Daten hält. Hinzu kommt, dass bestehende Daten in den Händen weniger mächtiger Unternehmen liegen. Solch eine Konzentration führt zu einem Marktungleichgewicht, das den Wettbewerb einschränkt und den Datenzugang und die Datennutzung durch Dritte behindert.
Das Ziel des Data Acts ist eine faire Verteilung des Datenwerts auf die Akteure der Datenwirtschaft. Zu diesem Zweck schreibt er den fairen Zugang und die faire Nutzung von Daten vor sowie Datenportabilität und Interoperabilität zwischen unterschiedlichen Diensteanbietern. Auf diese Weise sollen Datenmonopole und Lock-in-Effekte aufgelöst werden. Nutzer sollen mehr Kontrolle über die von ihnen generierten Daten erhalten und der öffentliche Sektor Zugang zu Daten haben, die notwendig sind, um politische und gesellschaftliche Herausforderungen zu bewältigen, wie beispielsweise die Corona-Pandemie.
Datennutzer und Dateninhaber
Der Data Act definiert den „Nutzer“ als eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least, oder eine Dienstleistung in Anspruch nimmt. Die Eigenschaft des „Datennutzers“ knüpft an die vertragliche Beziehung zum Gerät an.
„Dateninhaber“ ist die juristische oder natürliche Person, die gesetzlich berechtigt oder verpflichtet ist, bestimmte Daten zur Verfügung zu stellen, oder im Falle nicht-personenbezogener Daten und durch die Kontrolle der technischen Gestaltung des Produkts und der damit verbundenen Dienste dazu in der Lage ist. Einfach formuliert: Dateninhaber ist derjenige, der die technische de facto Kontrolle über die Daten hat.
Der Data Act geht also davon aus, dass Daten nicht in der Hand des Nutzers liegen, sprich in der Hand des Datenerzeugers, sondern in der Hand des datenverarbeitenden Unternehmens.
Datenzugang und -nutzung
Aus diesem Grund schafft der Gesetzesentwurf ein Recht auf Datenzugang und -nutzung zugunsten von datengenerierenden Nutzern.
Produkte und Dienste sollen derart gestaltet sein, dass Nutzer zu den von ihnen generierten Daten Zugang haben, und zwar einfach, sicher und, wo erforderlich und angemessen, direkt. Hat der Nutzer keinen direkten Zugang, muss der Dateninhaber ihm auf Anfrage unverzüglich, unentgeltlich und gegebenenfalls kontinuierlich und in Echtzeit Zugang gewähren.
Zusätzlich sieht der Data Act Informationspflichten gegenüber dem Nutzer vor, und zwar bevor der Nutzer das datengenerierende Produkt bzw. die Dienstleistung kauft, mietet oder leiht. Beispielsweise muss er informiert werden über:
- Natur und Umfang der von dem Produkt generierten Daten,
- ob Daten kontinuierlich generiert werden und in Echtzeit,
- Zugangsmöglichkeiten des Nutzers zu den Daten,
- ob der Hersteller oder Dienstleister beabsichtigt, die Daten selbst zu verwenden oder dies einem Dritten zu gestatten, und wenn ja, für welche Zwecke,
- Identität und Kontaktdaten des Dateninhabers.
Auf Anfrage des Datennutzers muss der Dateninhaber seine Daten mit Dritten teilen. Diese sog. Datenempfänger dürfen die Daten nur zu den Zwecken und unter den Bedingungen verarbeiten, die mit dem Nutzer vereinbart sind. Daten müssen gelöscht werden, wenn sie nicht mehr für den vereinbarten Zweck benötigt werden. Ist der Dateninhaber verpflichtet, Daten einem Datenempfänger zugänglich zu machen, hat er dies unter fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise zu tun. Etwaige Vergütungen müssen angemessen sein. Können sich Dateninhaber und Datenempfänger nicht auf einen fairen Datennutzungsvertrag einigen, sieht der Data Act Streitbeilegungsstellen vor.
Der Anspruch auf Datenzugang soll nicht gegen kleine und Kleinstunternehmen geltend gemacht werden.
Verbot missbräuchlicher Vertragsklauseln
Der Data Act stipuliert, dass missbräuchliche Klauseln in Datennutzungsverträgen, die einem mittelständischen, kleinen oder Kleinstunternehmen einseitig auferlegt werden, für diese nicht bindend sind. Denn üblicherweise sind solche Klauseln nicht das Ergebnis ausgewogener Vertragsverhandlungen, sondern die Folge von „Take-it-or-leave-it“-Situationen. In Artikel 13 Data Act hat die EU einen sog. unfairness test eingeführt. Danach ist eine Vertragsklausel missbräuchlich, wenn sie in grober Weise von der guten Handelspraxis abweicht und damit gegen Treu und Glauben und gegen die guten Sitten verstößt. Diese Allgemeinregel wird ergänzt durch eine Liste von Klauseln, die stets missbräuchlich sind, und eine Liste von Klauseln, bei denen vermutet wird, dass sie missbräuchlich sind, die also als missbräuchlich gelten. Außerdem soll die Europäische Kommission unverbindliche Mustervertragsklauseln entwickeln, auf die die Parteien zurückgreifen können, ähnlich den Standardvertragsklauseln im Datenschutzrecht.
Datenportabilität
Es ist üblich, dass Anbieter von Datenverarbeitungsdiensten den Wechsel von Kunden zu einem konkurrierenden Diensteanbieter behindern durch, z.B., lange Kündigungsfristen oder das Erschweren der Portabilität der Daten. Indem der Wechsel möglichst umständlich gestaltet wird, werden Kunden an den bestehenden Anbieter gebunden, sog. Lock-in-Effekt. Der Data Act sieht vor, dass Kunden von einem Datenverarbeitungsdienst zu einem anderen Datenverarbeitungsdienst, der dieselbe Art von Dienst umfasst, wechseln können ohne durch kommerzielle, technische, vertragliche und organisatorische Maßnahmen behindert zu werden.
Die Rechte des Kunden müssen in einem schriftlichen Vertrag festgelegt werden. Der Vertrag muss mindestens bestimmen, dass der Kunde das Recht hat, den Anbieter innerhalb von 30 Tagen zu wechseln. Der Anbieter muss den Kunden beim Wechsel unterstützten und weiterhin seine Dienste uneingeschränkt erbringen. Außerdem muss der Anbieter eine vollständige Spezifikation aller Daten vornehmen, die während des Umstellungsprozesses exportiert werden. Das schließt alle Daten ein, die vom Kunden zu Beginn des Dienstleistungsvertrags importiert wurden, und alle Daten, die vom Kunden und durch die Nutzung des Dienstes während der Vertragsdauer erzeugt wurden. Zu denken ist hier insbesondere an Sicherheitseinstellungen, Zugriffsrechte und Zugriffsprotokolle auf den Dienst. Gibt der Diensteanbieter an, ein Wechsel innerhalb von 30 Tagen sei technisch nicht zu vollziehen, muss er dies dem Kunden innerhalb von sieben Tagen mitteilen. Der Anbieter trägt die Beweislast. Der Wechsel muss spätestens innerhalb von sechs Monaten nach Kundenanfrage vollzogen werden.
Für den Wechsel darf der Diensteanbieter keine Kosten gegenüber dem Nutzer erheben. Das gilt nach einer Übergangsphase von drei Jahren nach Inkrafttreten des Data Acts.
Interoperabilität
Im Übrigen legt der Data Act grundlegende Anforderungen an die Interoperabilität für Betreiber von Datenräumen und Anbieter von Datenverarbeitungsdiensten fest. Hier bezieht sich der Gesetzesentwurf insbesondere auf Cloud Computing- und Edge Computing-Anbieter. Durch einheitliche Standards können Daten besser ausgetauscht werden und Mechanismen zur gemeinsamen Datennutzung besser zusammenarbeiten. Ebenso legt der Data Act grundlegende Anforderungen an smart contracts fest. Diese helfen den Vertragsparteien zu garantieren, dass die vereinbarten Datennutzungsbedingungen eingehalten werden.
Für Cloud Computing- und Edge Computing-Anbieter gelten auch die Regeln der Datenportabilität, insbesondere muss ein Wechsel des Diensteanbieters innerhalb von 30 Tagen möglich sein und darf nicht durch Alt-Anbieter künstlich erschwert werden.
Datenzugang aufgrund außergewöhnlicher Umstände
Dateninhaber müssen dem öffentlichen Sektor Daten zugänglich machen aufgrund außergewöhnlicher Umstände. Außergewöhnliche Umstände sind beispielsweise öffentliche Notfälle oder wenn das Fehlen der Daten eine öffentliche Institution daran hindert einer Aufgabe im öffentlichen Interesse nachzukommen und die Daten nicht auf andere Weise beschafft werden können. Sind dem Dateninhaber durch die Zurverfügungstellung Kosten in technischer oder organisatorischer Hinsicht entstanden, sind diese erstattungsfähig.
Die öffentliche Institution darf die Daten nur zu dem von ihr angegebenen Zweck nutzen. Handelt es sich um personenbezogene Daten, muss sie technische und organisatorische Maßnahmen zum Schutz der betroffenen Person vornehmen und die Daten vernichten, sobald sie für die Erfüllung des Zwecks nicht mehr nötig sind. Handelt es sich um Geschäftsgeheimnisse, soll die öffentliche Institution diese nur als letztes Mittel anfragen und auch nur im geringsten Maße. Dabei muss sie angemessene Maßnahmen vornehmen, um die Vertraulichkeit des Geschäftsgeheimnisses sicherzustellen.
Der Anspruch auf Datenzugang soll nicht gegen Dateninhaber geltend gemacht werden, die kleine oder Kleinstunternehmen sind.
Internationaler Schutz nicht-personenbezogener Daten
Datenverarbeitungsdienste sollen nicht-personenbezogene Daten nicht an Drittländer herausgeben oder diesen Zugang gewähren, wenn dadurch ein Konflikt mit dem Unionsrecht oder dem nationalen Recht des betroffenen Mitgliedstaates entstehen würde. Basiert die Anfrage auf der Entscheidung eines Gerichts oder einer Behörde und auf einem internationalen Vertrag, soll die Entscheidung anerkannt und vollzogen werden. Basiert sie nicht auf einem internationalen Vertrag, soll der Anfrage nur in Ausnahmefällen nachgekommen werden, beispielsweise zu Zwecken der Strafverfolgung.
Fazit
Der europäische Gesetzgeber hat mit dem Data Act eine weitere Maßnahme vorgestellt, die die faktische Kontrolle monopolistischer Dateninhaber schwächt und die Position datengenerierenden Nutzer stärkt. Die regulatorischen Maßnahmen der letzten Jahre zeigen, dass die EU die gegenwärtigen einseitigen Strukturen des Datenmarkts aufbrechen und damit Chancen für Innovation und Wettbewerb in der Datenwirtschaft schaffen will. Im Zusammenhang mit Rechten an Daten wurden Diskussionen um die Einführung eines Dateneigentums geführt, dem ist die EU im Data Act nicht nachgekommen. Vielmehr scheint eine Verschiebung in Richtung data sharing stattzufinden, es der EU also mehr um Datensouveränität zu gehen.
Es bleibt abzuwarten wie sich der Data Act entwickelt und in der Praxis etablieren wird. Beispielsweise ist nicht geregelt, wie mit überlappenden Nutzungsrechten an Daten umzugehen ist. Gut vorstellbar ist, dass jeder die Daten nutzen können soll, die er zur Erfüllung seiner Dienste benötigt, beispielsweise eine Autowerkstatt die Daten, die sie für die Reparatur eines Fahrzeugs benötigt.
Der Data Act wird wohl nicht vor 2023 in Kraft treten.