Der am 11. Januar 2024 in Kraft getretene Data Act (die Datenverordnung), ist neben weiteren Verordnungen wie dem Data Governance Act ein Bestandteil der Europäischen Datenstrategie. Der Data Governance Act ist seit September letzten Jahres in Kraft und bildet die Grundlage der europäischen Datenstrategie zur Schaffung eines einheitlichen Datenmarktes zum Schutz der europäischen Datensouveränität und der globalen Wettbewerbsfähigkeit. Was die Rechte zur Datennutzung angeht, so ist es als sektorübergreifendes Dokument gedacht. Aus diesem Grund soll es die aktuellen sektoralen Regelungen nicht ändern oder ersetzen, sondern vielmehr als Grundlage für alle kommenden sektoralen Regelungen dienen.
Im Hinblick auf die Datenwirtschaft versucht der Data Act, so viele rechtliche, finanzielle und technologische Hindernisse wie möglich zu beseitigen. Die Ziele des Data Act sind daher die Förderung der Datennutzung und des Datenzugangs sowie die Gewährleistung einer gerechten Verteilung des Wertes der Daten unter den zahlreichen Teilnehmern der Datenwirtschaft.
Hersteller sollen verpflichtet werden, ein möglichst "datentransparentes" Design zu entwickeln. Danach soll es für die Benutzer einfach sein, auf alle Daten zuzugreifen, die bei der Verwendung eines solchen Produkts erzeugt oder gesammelt werden. Darüber hinaus ist die Definition von "Daten" recht weit gefasst, wobei "Daten" mehr als nur personenbezogene Daten umfassen.
Dennoch gibt der Data Act dem Inhaber der Daten keine rechtliche Rechtfertigung für die Verarbeitung von Daten. Die tatsächliche Kontrolle, die der Dateninhaber über die betreffenden Daten hat, ist die Grundlage des Data Act. Daher muss der Inhaber der Daten zusätzlich zu den Anforderungen des Data Act auch die Datenschutzbestimmungen wie die Datenschutz-Grundverordnung (DSGVO) oder das Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) einhalten.
Für wen gilt der Data Act?
Der Geltungsbereich des Data Act erstreckt sich über die nationalen Grenzen hinaus. Er gilt u. a. und unabhängig vom Ort der Niederlassung für:
Hersteller von In-Scope-Produkten und Anbieter von In-Scope-Dienstleistungen in der EU;
Dateninhaber, die Daten an Datenempfänger in der EU weitergeben; und
Anbieter von Datenverarbeitungsdiensten, die solche Dienste für Kunden in der EU anbieten. Anders als die DSGVO gilt das Datengesetz nur für Nutzer und Datenempfänger innerhalb der EU.
Die durch den Data Act den Dateninhabern auferlegten Pflichten zur gemeinsamen Nutzung von Daten gelten sowohl für "Business to Consumer" ("B2C") als auch für "Business to Business" ("B2B") Nutzer. Die Rechte zur gemeinsamen Nutzung von Daten werden B2C- und B2B-Nutzern sowie in extremen Fällen auch Business to Government-Nutzern ("B2G") gewährt.
Der "Nutzer" des Produkts oder der Dienstleistung hat die rechtliche Befugnis, auf die Daten zuzugreifen und/oder den Datenaustausch zu verlangen. Als Nutzer ist eine "natürliche oder juristische Person“ zu verstehen, „die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt" (Art. 2 Ziffer 12). Daraus ergibt sich, dass der Erwerb von Geräten durch eine juristische oder natürliche Person den "Nutzer"-Status begründet.
Die Organisation, die für die technische Gestaltung des Produkts und der damit verbundenen Dienstleistungen verantwortlich ist, wird als Dateninhaber bezeichnet. Diese haben auch die Befugnis (oder Pflicht, je nach Situation), bestimmte Daten zu veröffentlichen. Wenn es beispielsweise um medizinische Geräte geht, sind die Hersteller dieser Geräte in aller Regel auch die Inhaber der Daten, die sich auf die Verwendung des Geräts durch einen Patienten beziehen. Gelegentlich sind jedoch nicht die Patienten die Hauptempfänger von Daten aus medizinischen Geräten, die von den Herstellern vermietet oder geleast werden (z. B. computergestützte Diagnosesysteme). Auch Einrichtungen des Gesundheitswesens können berechtigt sein, die von dem medizinischen Gerät oder der Dienstleistung verarbeiteten Patientendaten zu nutzen. Sie können auch als Inhaber von Patientendaten fungieren. Ähnlich verhält es sich in der Automobilindustrie bei der Autovermietung: Der Datennutzer kann entweder das Vermietungsunternehmen oder die natürliche Person sein, die das Auto mietet.
Welche Produkte fallen unter den Data Act?
Vernetzte physische Produkte, die Daten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst übermitteln können und die durch entsprechende Komponenten Daten über ihre Leistung, Verwendung oder Umgebung sammeln oder erzeugen können, fallen unter den Data Act. Solche Produkte werden in Erwägungsgrund Nr. 14 des Data Act als "Internet der Dinge" (oder "IoT") bezeichnet. Fahrzeuge, Konsumgüter und Haushaltsgeräte, industrielle und medizinische Geräte sowie Geräte für die Landwirtschaft und das Gesundheitswesen sind Beispiele für solche Produkte des Internets der Dinge (IoT) (Erwägungsgrund Nr. 14 Satz 3).
Da solche Daten die Digitalisierung von Nutzeraktivitäten und -ereignissen darstellen, sollten entsprechende (Roh-)Daten verfügbar sein. Hingegen werden Daten, die erst aus solchen Daten erzeugt werden (z.B. mittels komplexer proprietärer Algorithmen), nicht als unter den Data Act fallend angesehen werden (Erwägungsgrund Nr. 15).
Andererseits sollen Gegenstände, die in erster Linie zur Aufzeichnung und Übertragung von Material oder zur Anzeige oder Wiedergabe von Inhalten dienen, wie Smartphones, Kameras, Webcams, im Gegensatz zu Gegenständen des Internets der Dinge nicht unter das Datenschutzgesetz fallen.
Was sind die wichtigsten Bestimmungen des Data Act?
Im Data Act ist das Recht der Nutzer (eine Person oder ein Unternehmen) auf Zugang zu ihren Daten verankert, ebenso wie die Möglichkeit, sie mit bestimmten Einschränkungen an Dritte weiterzugeben (siehe Artikel 5). Die Nutzer haben das Recht auf unverzüglichen und freien Zugang zu ihren Daten, wobei sichergestellt werden muss, dass die Daten die gleiche Qualität haben wie die des Dateninhabers und dass diese gegebenenfalls in Echtzeit verfügbar sind. Handelt es sich bei dem Dateninhaber jedoch um ein Klein- oder Kleinstunternehmen und bei dem Nutzer um ein sehr großes Unternehmen, so gelten einige Ausnahmen, um die Fairness des Marktes weiter zu schützen. Klein- oder Kleinstunternehmen sind definiert als Unternehmen mit nicht mehr als 49 Beschäftigten und einem Jahresumsatz bzw. einer Bilianzsumme von höchstens EUR 10 Mio. Diese Unternehmen sind im Allgemeinen von der Verpflichtung gemäß den Artikeln 3 bis 7 ausgenommen.
In Artikel 3 werden die Voraussetzungen für die Hersteller festgelegt, "access by design" einzubauen, damit die Daten in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind. Zudem werden weitere vorvertragliche Verpflichtungen seitens des Verkäufers, Vermieters oder Leasinggebers festgelegt, dem Nutzer umfassende Informationen zur Verfügung zu stellen. Ist ein direkter Zugang zu den Daten nicht möglich, so hat der Dateninhaber auf Anfrage unverzüglich und unentgeltlich die entsprechenden Daten, gegebenenfalls fortlaufend in Echtzeit, zur Verfügung zu stellen.
Bestimmte Einschränkungen des Datenzugangs und der Datennutzung sind in Artikel 4 Data Act enthalten. So dürfen personenbezogene Daten, die in einem Datensatz enthalten sind, nur dann zur Verfügung gestellt werden, wenn es dafür eine Rechtsgrundlage gemäß der DSGVO gibt. Sofern die Verwendung der generierten Daten negative Auswirkungen auf den Nutzer haben könnte, ist es dem Dateninhaber darüber hinaus nicht gestattet, diese Daten zu verwenden, um etwas über das Vermögen, den finanziellen Status oder die Produktionstechniken des Nutzers zu erfahren.
Diese Anforderungen gelten mithin auch für medizinische Geräte, die so gestaltet sein müssen, dass sie dem Nutzer einen einfachen und direkten Zugang zu den generierten Daten ermöglichen. Die Nutzer behalten die Freiheit, ihre Daten für rechtmäßige Zwecke zu verwenden, wobei Dritte sie wie vereinbart verarbeiten und löschen können, wenn sie nicht mehr benötigt werden. Allerdings ist es Nutzern und Dritten untersagt, die Daten zur Entwicklung konkurrierender Produkte zu verwenden oder ohne ausdrückliche Zustimmung ein Profiling vorzunehmen. Jede gemeinsame Nutzung von Daten muss durch eine Vereinbarung geregelt werden, die die Interessen der Dateninhaber wahrt und Maßnahmen wie Entschädigung, Vertraulichkeitsverpflichtungen und Schutz von Geschäftsgeheimnissen enthält. Darüber hinaus schreibt der Data Act die Bereitstellung von Daten an öffentliche Stellen bei öffentlichen Notfällen vor, um sicherzustellen, dass wichtige Informationen für die Bewältigung kritischer Probleme wie Cybersicherheitsvorfälle verfügbar sind.
Datenübertragbarkeit und Designanforderungen
Der Data Act ermöglicht es Cloud-Kunden, den Cloud-Anbieter problemlos und kostenlos zu wechseln. Durch diese Maßnahmen wird die Bindung an einen bestimmten Anbieter vermieden, während der Wettbewerb und die Auswahl auf dem Markt gefördert werden. So kann beispielsweise jedes europäische Unternehmen die zahlreichen Möglichkeiten des EU-Cloud-Marktes nutzen, indem es Datendienste von mehreren Cloud-Anbietern kombiniert ("Multi-Cloud").
Dateninhaber müssen gewährleisten, dass Kunden ihre relevanten Daten u.a. an einen anderen Dienstanbieter übertragen können, der einen vergleichbaren Dienst anbietet (Art. 23ff). Während die DSGVO in Art. 20 Abs. 1 DSGVO das Recht auf Datenübertragbarkeit für personenbezogene Daten regelt, gelten die Bestimmungen des Data Act für alle Daten, die in seinen Anwendungsbereich fallen.
Transparenz
Artikel 3 regelt Anforderungen für vorvertragliche Pflichten, die für ein hohes Maß an Transparenz gegenüber den Nutzern sorgen sollen. Dies würde zum Beispiel erhebliche vertragliche Anpassungen erforderlich machen.
Vor der Unterzeichnung eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt (z.B. Wearable oder medizinisches Gerät), muss der Nutzer über bestimmte Pflichtinformationen informiert werden.
Dazu gehören:
die Art und Menge der Daten, die während der Verwendung des vernetzten Produkts erzeugt werden, und ob diese Daten kontinuierlich und in Echtzeit erzeugt werden;
ob der Hersteller/Dienstleister plant, die Daten selbst zu verwenden oder sie an Dritte weiterzugeben, und wenn ja, für welche Zwecke;
den Zugang des Nutzers zu den Daten (z. B. über die Einstellungen des Produkts oder durch Kontaktaufnahme mit dem Dateninhaber);
Zugang des öffentlichen Sektors in Notfällen
Die COVID-19-Pandemie erweist sich als nützliche Lektion für den Gesetzgeber. Art. 14 bis 22 Data Act regeln das Recht öffentlicher Stellen auf Zugang zu Daten in Notfällen. Hierfür müssen allerdings strenge Voraussetzungen erfüllt sein, wie die Ausrufung eines öffentlichen Notstandes und die Unmöglichkeit, die Daten auf andere Weise zeitnah und vergleichbar zu beschaffen (Art. 15).
Zum Vergleich setzt Kapitel VIII Anforderungen gegen einen unrechtmäßigen staatlichen Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld (Art. 32). Hiernach haben Anbieter von Datenverarbeitungsdiensten angemessene technische, organisatorische und rechtliche Maßnahmen zu treffen um den unrechtmäßigen staatlichen Zugang zu und die staatliche Übermittlung durch Drittländer zu verhindern.
Streitbeilegung und Vollstreckung
Die EU-Mitgliedstaaten müssen eine oder mehrere geeignete Aufsichtsbehörden benennen, um die Umsetzung und Durchsetzung des Data Act´s zu gewährleisten. Wurden mehrere Behörden gemäß Artikel 37 Absätze 1 und 2 benannt, muss ein Datenkoordinator als Hauptansprechpartner auf nationaler Ebene bestimmt werden.
Die Bußgelder des Data Act werden von den einzelnen Mitgliedstaaten festgelegt, die unter anderem auch die jährlichen Einnahmen des Zuwiderhandelnden aus dem vorangegangenen EU-Steuerjahr berücksichtigen. Diese Geldbußen sollen angemessen, wirksam und abschreckend sein. Gemäß Artikel 40 Absatz 4 können Verstöße gegen die Bestimmungen über die gemeinsame Nutzung personenbezogener Daten gemäß der Datenschutz-Grundverordnung mit Geldbußen geahndet werden, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen können.
Smart Contracts (Intelligente Verträge)
Die Erstellung von intelligenten Verträgen (Art. 36) ist eine der umstrittensten Bestimmungen des Data Act. Ein intelligenter Vertrag ist gemäß Art. 2 Ziffer 39 "ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden."
Der Data Act hat potenziell Auswirkungen auf bereits bestehende intelligente Verträge auf öffentlichen Blockchains und macht keinen Unterschied zwischen der Distributed-Ledger-Technologie und digitalen Verträgen allein.
Anbieter von intelligenten Verträgen müssen sicherstellen, dass ihre Produkte über "Zugangskontrollmechanismen" und "ein sehr hohes Maß an Robustheit" verfügen. Um "die fortgesetzte Ausführung von Transaktionen zu beenden", müssen Smart Contracts auch über einen "Kill Switch" verfügen, d. h. ein Gerät, das entweder den Vertrag zerstören oder seine Ausführung aussetzen kann.
Gibt es Ausnahmen von der Teilungspflicht?
Das Datenzugangsrecht mag weitreichend sein, aber es hat auch Grenzen. Wenn die Dateninhaber berechtigte Gründe haben, die Daten nicht an die Nutzer weiterzugeben, haben sie immer noch bestimmte Möglichkeiten. Zum Beispiel:
Um unlautere Praktiken zu verhindern, sollten die Parteien in ihren Verträgen die spezifischen Bedingungen für die Bereitstellung von Daten frei aushandeln können, mit einigen (sehr wichtigen) Ausnahmen;
Geschäftsgeheimnisse müssen durch die Bedingungen der Vereinbarung zwischen dem Dateninhaber und dem Nutzer oder Dritten angemessen geschützt werden;
Die Dateninhaber haben die Möglichkeit, von Dritten eine Vergütung zu verlangen (KMU können nur die Erstattung der für die Bereitstellung der Daten erforderlichen Ausgaben und Investitionen verlangen); und
Nutzer und Dritte, denen der Nutzer Zugang zu den Daten gewährt hat, sollten die Daten nur für die mit dem Nutzer vereinbarten Zwecke und unter Einhaltung erheblicher Beschränkungen verwenden. Sie dürfen die Daten nicht verwenden, um ein Produkt zu erstellen, das mit dem Produkt, von dem die zugänglichen Daten stammen, konkurriert, wie bereits erwähnt. Um sicherzustellen, dass der Nutzer oder Dritte sich an die Vertragsbedingungen usw. hält, kann der Dateninhaber Schutzmechanismen (z. B. intelligente Verträge) einsetzen.
Wie werden Rechte an geistigem Eigentum und Geschäftsgeheimnisse behandelt?
Die Offenlegung von Geschäftsgeheimnissen ist nur dann zulässig, wenn sowohl der Dateninhaber als auch der Nutzer die notwendigen Vorkehrungen zur Wahrung der Vertraulichkeit, insbesondere gegenüber Dritten, treffen. Der Data Act enthält Vorschriften, die ein ausgewogenes Verhältnis zwischen der Zugänglichkeit von Daten und dem Schutz von Geschäftsgeheimnissen herstellen sollen. Es bestehen jedoch nach wie vor Bedenken hinsichtlich der Wirksamkeit dieser Vorschriften zur Minimierung des Risikos einer versehentlichen Offenlegung nach der Datenerfassung.
Die Dateninhaber (oder die Inhaber von Geschäftsgeheimnissen, wenn sie sich vom Dateninhaber unterscheiden) müssen die durch Geschäftsgeheimnisse geschützten Daten identifizieren und gemeinsam mit den Nutzern angemessene technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit festlegen. Dies kann Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle oder die Einhaltung bestimmter technischer Standards beinhalten. Die Ermittlung geeigneter Maßnahmen zur Minderung des Risikos einer Offenlegung stellt eine große Herausforderung dar.
In Fällen, in denen keine Einigung über die erforderlichen Maßnahmen erzielt werden kann oder wenn die Nutzer diese nicht umsetzen oder die Vertraulichkeit von Geschäftsgeheimnissen gefährden, behalten sich die Dateninhaber das Recht vor, die Weitergabe von Geschäftsgeheimnissen zu verweigern oder auszusetzen. Ausnahmsweise kann die Verweigerung des Zugangs im Einzelfall gerechtfertigt sein, wenn für den Dateninhaber trotz der getroffenen Maßnahmen ein erhebliches Risiko eines schweren wirtschaftlichen Schadens durch die Offenlegung von Geschäftsgeheimnissen besteht. Solche Entscheidungen müssen gut begründet und der zuständigen Behörde mitgeteilt werden,so dass eine strenge Überwachung der Verweigerung oder Aussetzung der Weitergabe von Geschäftsgeheimnissen gewährleistet ist .
Was sollten betroffenen Unternehmen tun, um sich auf die neuen Anforderungen vorzubereiten?
Generell sollten Unternehmen frühzeitig damit beginnen, ihre Verträge und vertraglichen Rahmenbedingungen auf die Einhaltung der Vorgaben des Data Act zu überprüfen und diese ggf. zu überarbeiten. Darüber hinaus sollte der Datenzugriff und die Datenportabilitätsanforderungen bei der Produktentwicklung im Rahmen der Planung von Produktionszyklen berücksichtigt werden. Integrierte Produkte und damit verbundene Dienste sollten idealerweise so entwickelt werden, dass der Nutzer direkt auf die Daten zugreifen kann, die durch ihre Nutzung erzeugt werden und für den Dateninhaber leicht zugänglich sind.
Hersteller vernetzter Produkte sollten zudem geeignete Sicherheitsmaßnahmen ergreifen, um sensible sowie personenbezogene Daten zu schützen. Datenschutzteams sollten einbezogen werden, um die Einhaltung der einschlägigen Datenschutzbestimmungen zu gewährleisten. Die Produkte sollten unter dem Gesichtspunkt des Datenschutzes mit dem geringstmöglichen Risiko für die Grundrechte des Einzelnen hergestellt werden. Pseudonymisierung, Verschlüsselung und der Einsatz von Technologien, die die Anwendung von Algorithmen auf Daten ermöglichen, um aussagekräftige Erkenntnisse zu gewinnen und dabei nur die notwendigen Informationen zu verarbeiten, sind einige Beispiele für mögliche Vorkehrungen. Die Verpflichtung, Daten an vom Nutzer autorisierte Dritte weiterzugeben, erhöht die Anforderungen an eine angemessene IT-Sicherheit erheblich.
Ausblick und Zeitplan
Gemäß Artikel 41 Data Act wird die Kommission bis zum 12. September 2025 unverbindliche Mustervertragsbedingungen für den Zugang zu Daten und deren Nutzung erstellen und vorschlagen.
Für neue Verträge, die nach dem 12. September 2025 abgeschlossen werden, gilt das Missbräuchlichkeitskriterium für Allgemeine Geschäftsbedingungen nach Artikel 13. Solange die alten Verträge eine unbestimmte Laufzeit haben oder frühestens 10 Jahre nach dem 11. Januar 2024 auslaufen, unterliegen sie ebenfalls der Missbräuchlichkeitsprüfung, die ab dem 12. September 2027 auf Verträge angewendet wird, die am oder vor dem 12. September 2025 geschlossen wurden.
Der Data Act soll einheitliche Vorschriften für die EU bringen, aber die nationalen Behörden werden für deren Durchsetzung sorgen. Jeder Mitgliedstaat wird entscheiden, welche Behörde(n) für diese die Aufsicht übernehmen soll. Der Data Act überlässt es den Mitgliedstaaten auch, die anwendbaren Sanktionen festzulegen, vorbehaltlich der minimalen Bedingungen, die in den Rechtsvorschriften festgelegt sind. Die Sanktionen müssen "wirksam, verhältnismäßig und abschreckend" sein, und die Mitgliedstaaten müssen der Kommission den Inhalt dieser Sanktionsregelungen innerhalb von 20 Monaten nach ihrer Umsetzung, d. h. bis zum 12. September 2025, mitteilen.
Für einzelne Anforderungen gilt eine etwas längere Umsetzungsfrist von zweiunddreißig Monaten. Allerdings wird die Kommission die Mitgliedstaaten bei der Einhaltung dieser Gesetze unterstützen, indem sie Richtlinien und Gesetze zu Themen wie faire Entschädigung für geteilte Daten, Interoperabilitätsanforderungen, Mustervertragssprache oder standardisierte Smart-Contract-Standards erlässt. Aus diesen Gründen sollten Unternehmen eine konsolidierte, gut koordinierte EU-weite Compliance-Strategie umsetzen.