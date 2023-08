Die EU-Institutionen haben am 27. Juni 2023 eine politische Einigung über das Datengesetz (sog. Data Act) getroffen, das als EU-Verordnung in allen EU-Staaten direkt anwendbar ist und harmonisierte Regeln für den „fairen Zugang zu und die Nutzung von Daten“ vorsieht.

Schon jetzt ist klar, dass das Gesetz weit über die Regulierung des "Internet der Dinge" (IoT) hinausgehen wird. Es betrifft insbesondere so genannte „connected products“ und Cloud-Dienste.

Nachfolgend geben wir einen ersten Überblick auf Basis der politischen Einigung, deren Text allerdings bisher nur auf Englisch vorliegt. Daher verwenden wir im Folgenden auch die englischen Begriffe aus dem Data Act.

Data Sharing (Gemeinsame Nutzung von Daten):

Sogenannten data holdern (Dateninhabern) werden weitreichende Pflichten auferlegt, insbesondere Bereitstellungs- und Zugangspflichten in Bezug auf Nutzerdaten.

Daten von connected products (vernetzten Produkten) oder related services (verbundenen Diensten) müssen unter Umständen mit dem Nutzer oder einem Dritten (Datenempfänger) geteilt werden. Damit sollen die Rechte der Nutzer im Verhältnis zum data holder gestärkt werden. Zudem sollen Anreize für neue Akteure geschaffen werden, in die Datenwirtschaft zu investieren.

connected products und related services müssen anhand der Vorgaben aus dem Data Act gestaltet werden ("Access by Design"). Das Gesetz verlangt von den data holdern außerdem, dass sie Daten aus connected products oder related services unentgeltlich und gegebenenfalls kontinuierlich in Echtzeit zugänglich machen.

Bislang sind viele connected products und related services nicht in diesem Sinne konzipiert, weshalb der Data Act und seine Pflichten künftig von Anfang an in der Produktentwicklung mitgedacht werden müssen.

Umgekehrt dürfen data holder nicht-personenbezogene Daten nicht mehr völlig frei mit anderen Akteuren – etwa zu Werbezwecken – teilen. Insoweit wird das Recht zur Datenweitergabe grundsätzlich auf das zur Erfüllung des Nutzervertrags erforderliche Maß eingeschränkt. Eine darüberhinausgehende Weitergabe von nicht-personenbezogenen Daten kann künftig einen Datenlizenzvertrag erfordern. Dies betrifft voraussichtlich auch Alt-Datenbestände.

Kleine und mittelständische Unternehmen sind in der Regel von den Verpflichtungen zur gemeinsamen Nutzung von Daten befreit (weniger als 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz).

Missbräuchliche Vertragsklauseln:

Die Vorschriften gegen missbräuchliche Vertragsklauseln (Kapitel IV) sollen den Missbrauch von vertraglichen Ungleichgewichten verhindern. Dabei führt das Gesetz ein Verbot missbräuchlicher Klauseln in B2B-Verträgen ein und orientiert sich in der Regelungstechnik am AGB-Recht. Neben einer Generalklausel sind im Data Act auch (nicht abschließende) Regelbeispiele für missbräuchliche Klauseln enthalten. Darunter fallen beispielsweise Regelungen, die die Haftung für die Qualität der zur Verfügung gestellten Daten einschränken. Darüber hinaus können ausschließliche Nutzungsrechte an Daten, die einseitig auferlegt werden, problematisch sein. Unterstützend sollen in diesem Rahmen von der Europäischen Kommission Mustervertragsklauseln veröffentlicht werden, an denen sich Unternehmen orientieren können.

Daten für den öffentlichen Sektor:

In Notlagen, beispielsweise bei Naturkatastrophen, müssen öffentlichen Stellen (public sector bodies) Daten, die zur Bewältigung der Notlage erforderlich sind, bereitgestellt werden.

Regulierung von Datenverarbeitungsdiensten, insbesondere von Cloud-Diensten:

Der Data Act will den Wechsel zwischen gleichartigen „data processing services“ erleichtern (Kapitel VI). Unter den generischen Begriff „data processing services“ fallen u. a. Software as a Service (SaaS), Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Diese Vorschriften sollen den EU-Cloud-Markt aufbrechen und die Portabilität von Daten zwischen Cloudanbietern zu erleichtern. Geregelt werden sehr detailliert vor allem technische und organisatorische Maßnahmen, aber auch vertragliche Details. So ist beispielsweise eine Höchstgrenze für Kündigungsfristen vorgesehen. Weiter müssen Schnittstellen zur Datenübertragung beim Export von Daten zwischen verschiedenen Anbietern von Cloud-Diensten geschaffen werden. Ausnahmen gelten für „custom-built“ data processing services.

Internationale Datenübermittlung und Interoperabilität:

Auch der internationale Datentransfer wird eigens geregelt, um den unrechtmäßigen Zugriff ausländischer staatlicher Stellen auf nicht-personenbezogenen Daten zu verhindern (Kapitel VII). Die Vorgaben sind aber nicht mit den Bestimmungen der DSGVO zu Datenübermittlungen an Drittländer identisch. Daneben sind Regelungen zur Interoperabilität vorgesehen (Kapitel VIII).





Last-Minute Änderungen von Definitionen

Der Gesetzgebungsprozess für das Gesetz begann Anfang 2022. Es gab buchstäblich bis zur letzten Minute wesentliche Änderungen, sogar bei Bestimmungen wie den Definitionen von "connected product“ und "related services“. Diese sind aber elementar für den Anwendungsbereich des Gesetzes, konkret: für die Bestimmung, wer als "data holder“ (Dateninhaber) gilt und somit von zahlreichen Verpflichtungen betroffen ist. Der erste Entwurf der Europäischen Kommission schloss noch Geräte wie PCs, Smartphones und Spielkonsolen aus. In der politischen Einigung, die nun erzielt wurde, sind sie nicht mehr ausgeschlossen.

Die Definition des Begriffs "connected product“ („vernetztes Produkt") lautet nun wie folgt (wir geben aufgrund der Ambiguität der verwendeten Begriffe hier den englischen Originalwortlaut wieder):

‚connected product’ means an item, that obtains, generates or collects, data concerning its use or environment, and that is able to communicate product data via an electronic communications service, a physical, connection or on-device access and whose primary function is not the storing, processing or transmission of data on behalf of third parties, other than the user; ‘related service’ means a digital service other than an electronic communications service, including software, which is connected with the product at the time of the purchase in such a way that its absence would prevent the product from performing one or more of its functions, or which is subsequently connected to the product by the manufacturer or a third party to add to, update or adapt the functions of the product.

Geschäftsgeheimnisse immer noch wenig geschützt

Die Verpflichtung zur Weitergabe von Daten kann sich sogar auf Geschäftsgeheimnisse erstrecken, obwohl es auch hier in letzter Minute einige Änderungen gegeben hat. Der Schutz von Geschäftsgeheimnissen umfasst im Grundsatz einen mehrstufigen Mechanismus: Die relevanten Daten müssen vom data holder bzw. trade secret holder zunächst als Geschäftsgeheimnis identifiziert werden. Sodann sollen die Akteure der Datenweitergabe vertragliche, technische und organisatorische Maßnahmen vereinbaren, mit denen die Vertraulichkeit der zu übermittelnden Geschäftsgeheimnisse gewährleistet wird. Hierfür sollen künftig auch Standardvertragsklauseln bereitstehen. Nach der Vereinbarung von Schutzmaßnahmen müssen grundsätzlich auch Geschäftsgeheimnisse weitergegeben werden. Unklar ist, wie ein data holder diese Schutzmaßnahmen in der Praxis gegenüber den Empfängern der Daten, also typischerweise den eigenen Nutzern oder beauftragten dritten Unternehmen, durchsetzen soll. Die Weitergabe von Geschäftsgeheimnissen kann grundsätzlich nur ausgesetzt werden, wenn keine Einigung über die zu ergreifenden Schutzmaßnahmen erzielt, oder diese vom Empfänger der Daten unzureichend umgesetzt werden. Letzteres wird aber häufig mit einer Kompromittierung der Geschäftsgeheimnisse einhergehen. Jede Entscheidung über die Aussetzung der Datenweitergabe muss vom data holder begründet und der zuständigen Behörde gemeldet werden.

Nach der politischen Einigung kann der data holder die Weitergabe von Geschäftsgeheimnissen im Einzelfall zudem unter außergewöhnlichen Umständen ex ante verweigern, wenn er nachweist, dass ihm durch die Offenlegung des Geschäftsgeheimnisses mit hoher Wahrscheinlichkeit ein ernsthafter Schaden entsteht – auch in diesem Fall muss der data holder jedoch nicht nur den Nutzer über die Verweigerung informieren, sondern auch die zuständige nationale Behörde. Die Schwelle zum Verweigerungsrecht („highly likely to suffer serious economic damage“) wurde zuletzt etwas abgeschwächt, ist aber nach wie vor sehr hoch. Dies ist aus Sicht des data holders bzw. trade secret holders bedauerlich, könnte dieses ex ante Recht in vielen Fällen doch effektivste Möglichkeit sein, eine Offenlegung von Geschäftsgeheimnissen von vornherein zu verhindern.

Was ist mit der DSGVO?

Anders als die DSGVO gilt der Data Act sowohl für personenbezogene als auch für nicht-personenbezogene Daten. Die DSGVO dient vornehmlich dem Schutz natürlicher Personen und schafft Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Der Data Act will hingegen in erster Linie den freien Datenverkehr nicht-personenbezogener Daten realisieren. Das Datengesetz lässt die DSGVO unberührt, d. h. für Fälle der Nutzung eines connected products oder eines related services, wobei auch personenbezogene Daten erzeugt werden, gelten beide Gesetze nebeneinander.

Insbesondere will der Data Act den Schutz, den die DSGVO für personenbezogene Daten bietet, nicht herabsetzen, und kann daher auch nicht als Rechtsgrundlage für die Datenverarbeitung gemäß der DSGVO dienen. In der Praxis wird dies wahrscheinlich mehr Schwierigkeiten bereiten, als es auf den ersten Blick scheint, insbesondere wenn ein connected product oder ein related service personenbezogene und nicht-personenbezogene Daten sammelt - in diesem Fall müssen die letzteren möglicherweise weitergegeben werden, die ersteren jedoch nicht (soweit es sich um andere Personen als den Nutzer handelt).

Zeitplan

Eine endgültige, konsolidierte Fassung des Data Act ist derzeit noch nicht veröffentlicht. Von weitreichenden Änderungen zu Inhalt und Umfang des Data Act ist hingegen nicht mehr auszugehen. Mit einer förmlichen Annahme kann möglicherweise erst im November gerechnet werden. Im Anschluss an die Annahme wird der Data Act nach einer Übergangsfrist von etwa 20 Monaten in allen EU-Mitgliedstaaten unmittelbar anwendbar sein, ohne dass es der mitgliedstaatlichen Umsetzung der Regelungen bedarf. Die sog. „Access by Design“ Pflicht, also die Vorgabe zur Gestaltung von (neuen) connected products und related services, greift erst nach weiteren 12 Monaten. Abgesehen von dieser „Access by Design“ Pflicht sind vom Data Act aber nicht nur neue connected products bzw. related services betroffen, sondern – jedenfalls im Grundsatz – auch bereits im Markt befindliche. Damit dürften potenziell auch Inhaber von Alt-Datenbeständen bzw. vorhandenen Datensilos den neuen Regeln, insbesondere den Datenbereitstellungspflichten und den Einschränkungen in der Datennutzung (Stichwort: Datenlizenzvertrag), unterfallen. Gerade für solche potenziellen data holder könnte die Zeitspanne von 20 Monaten recht knapp ausfallen, um sich ausreichend auf die Verpflichtungen des Data Act vorzubereiten.





Das könnte Sie auch interessieren:

Zur Anwendbarkeit des UN-Kaufrechts (CISG) auf die Schiedsabrede

Fairness Opinions - Schutz von Gesellschaftsorganen vor Haftungsrisiken

Zum Wegfall des Kleinbeteiligtenprivilegs bei koordinierter Finanzierung durch mehrere Gesellschafter