Mit dem Data Act würden industrieübergreifend weitreichende Regelungen für den Zugang zu und die Verwendung von nicht personenbezogenen Daten in der EU eingeführt.
Nach Konsultation und intensiven internen Beratungen im Jahr 2021 hat die Europäische Kommission am 23. Februar 2022 ihren Vorschlag für den Data Act veröffentlicht. Wird dieser von den EU-Gesetzgebern angenommen, handelt es sich um die Einführung einer weitreichenden rechtlichen Regelung für den Zugang zu und die Verwendung von nicht personenbezogenen Daten in der EU.
Nach Annahme durch die Kommission wird das Gesetz als Teil ihrer „Europäischen Datenstrategie“ im digitalen Jahrzehnt eine Schlüsselrolle spielen, indem es dazu beiträgt, die Regeln für die digitale Wirtschaft und Gesellschaft zu gestalten und „eine Fülle von Industriedaten in Europa zu erschließen, die Unternehmen, Verbrauchern, öffentlichen Diensten und der Gesellschaft insgesamt“ zugutekommen sollte.
Der Kommissionsvorschlag stützt sich auf den Grundgedanken, dass Industriedaten – von denen 80 % bisher nicht genutzt werden – ein bislang nicht ausgeschöpftes Potenzial bergen. Mit dem Data Act will die Kommission die rechtlichen, wirtschaftlichen und technischen Hindernisse, die für die unzureichende Nutzung von Daten verantwortlich sind, beseitigen und den Weg für eine stärkere Datennutzung freimachen. Zu diesem Zweck enthält der Vorschlag der Kommission eine Reihe von Vorschriften darüber, wer verschiedene Arten von Daten für Zwecke über alle Wirtschaftszweige in der EU hinweg verwenden und darauf zugreifen darf.
Nach dem Entwurf müssen weite Teile des auf gewerblichem Gebiet und von Verbrauchern* im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Datenbestands technisch und rechtlich den Nutzern zugänglich gemacht werden, die die Daten anschließend an Dritte weitergeben können. Die vertraglichen Beziehungen zwischen Unternehmen, die Daten gemeinsam nutzen, werden geregelt, einschließlich der Einführung eines FRAND-Standards. Überdies werden Nutzer von Datenverarbeitungsdiensten, wie z.B. Cloud-Computing-Diensten, die Möglichkeit haben, ihren Dienstanbieter problemlos zu wechseln.
Alle Aspekte der Regelung tragen dem Schutz von Geschäftsgeheimnissen und den besonderen Bedürfnissen von Kleinst-, kleinen und mittleren Unternehmen Rechnung.
Der Vorschlag für den Data Act stellt eine horizontale Regelung dar (d.h., er gilt sektorübergreifend) und umfasst fünf Bereiche von Vorschriften für den Zugang zu und die Verwendung von nicht personenbezogenen Daten in der EU:
- Vorschriften, die es Nutzern von vernetzten Geräten (Produkte und Dienste des Internets der Dinge [IoT], virtuelle Assistenten) ermöglichen, Zugang zu den von ihnen erzeugten Daten zu erhalten und diese Daten an Dritte weiterzugeben (Datenaustausch zwischen Unternehmen [B2B] sowie zwischen Unternehmen und Verbrauchern [B2C])
- Vorschriften über die Bedingungen für den Datenzugang im Rahmen des Data Act oder anderer EU-Rechtsvorschriften, insbesondere die Einführung des FRAND-Standards (Datenzugangsbedingungen)
- Vorschriften zur Verhinderung des Missbrauchs vertraglicher Ungleichgewichte in Verträgen mit KMU über die gemeinsame Nutzung von Daten (Verbot unbilliger Bestimmungen)
- Instrumente für öffentliche Stellen, um auf Daten im Besitz des privaten Sektors zugreifen und diese nutzen zu können, wenn dies unter außergewöhnlichen Umständen, insbesondere im Falle eines öffentlichen Notstands, erforderlich ist (Datenaustausch zwischen Unternehmen und Behörden [B2G])
- Vorschriften, die es Kunden ermöglichen, wirksam zwischen verschiedenen Anbietern von Cloud-Datenverarbeitungsdiensten zu wechseln, und die die Einführung von Schutzmaßnahmen gegen unrechtmäßige Datenübertragungen vorsehen (Portabilität und Normierung)
Pfeiler 1 des Data Act: B2C- und B2B-Datenaustausch
Nach Ansicht der Kommission werden die von vernetzten Geräten erzeugten Daten derzeit oft ausschließlich von Herstellern gesammelt und es wird nur ein kleiner Teil der Industriedaten genutzt, ohne dass IoT-Nutzer und Dritte Zugang zu diesen Daten haben.
Um dieses erkannte Marktversagen zu beheben, enthält der Vorschlag für den Data Act Vorschriften, die es Nutzern von vernetzten Geräten und Anwendungen (z.B. von IoT-Produkten und -Diensten, virtuellen Assistenten) ermöglichen, auf die von ihnen erzeugten Daten zuzugreifen und diese an Dritte weiterzugeben. Um dies zu gewährleisten, sind die Hersteller verpflichtet, durch die Nutzung von IoT-Produkten oder damit verbundenen Diensten erzeugte Daten „nach technischer Gestaltung“ (by design) zugänglich zu machen (und dem Nutzer unmittelbar zugänglich zu machen, wo dies relevant und angemessen ist). Der Nutzer muss außerdem im Voraus (vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein Produkt oder eine Dienstleistung) darüber informiert werden, welche Daten erzeugt werden, wie der Nutzer darauf zugreifen und sie weitergeben kann und für welche Zwecke der Hersteller oder Dienstanbieter diese Daten zu verwenden oder weiterzugeben beabsichtigt.
Nutzer haben ein neues allgemeines Recht auf Zugang zu den durch IoT-Produkte und -Dienste erzeugten Daten und deren Nutzung. Die Daten müssen ihnen unverzüglich, kostenlos und „sofern anwendbar“ kontinuierlich und in Echtzeit zur Verfügung gestellt werden. Zum Schutz des Dateninhabers dürfen Geschäftsgeheimnisse nur offenbart werden, wenn alle erforderlichen Maßnahmen zur Wahrung der Vertraulichkeit getroffen werden. Eine weitere wichtige Ausnahme: Der Nutzer darf die Daten nicht zur Entwicklung eines Konkurrenzprodukts zu dem Produkt, von dem die Daten stammen, verwenden. Dateninhaber ihrerseits dürfen die von dem Produkt erzeugten Daten nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verwenden.
Nutzer können Daten an Dritte weitergeben oder diesen gestatten, in ihrem Namen bei den Dateninhabern (d.h. den Herstellern oder Dienstanbietern) Daten anzufordern. Unternehmen, die im Rahmen des kommenden Gesetzes über digitale Märkte (Digital Markets Act) als Gatekeeper bezeichnet werden (d.h. Tech-Giganten), gelten jedoch nicht als berechtigte Dritte, d.h., sie können den Data Act nicht als Instrument zum Sammeln von noch mehr Daten nutzen, indem sie IoT-Nutzer auffordern, Daten mit ihnen zu teilen.
Um Kleinst- und Kleinunternehmen zu schützen, gelten die Verpflichtungen zum Datenzugang und zur gemeinsamen Nutzung nicht für sie.
Pfeiler 2 des Data Act: Bedingungen für den Datenzugriff
Der Vorschlag für den Data Act regelt ferner die Art und Weise, in der Dateninhaber, auf die die entsprechende Verpflichtung zutrifft, Nutzern oder Dritten Daten zur Verfügung stellen müssen. Es sollte erwähnt werden, dass sich diese Verpflichtung nicht nur aus dem Data Act selbst, sondern auch aus anderen EU-Verordnungen oder nationalen Verordnungen zur Umsetzung von EU-Recht ergeben kann. Grundsätzlich sind Dateninhaber jedoch nicht verpflichtet, Geschäftsgeheimnisse preiszugeben.
Sind Dateninhaber verpflichtet, Daten zugänglich zu machen, müssen sie entsprechende Vereinbarungen mit den berechtigten Empfängern zu fairen, angemessenen und nicht diskriminierenden Bedingungen (FRAND) treffen. Der Nachweis, dass die angebotenen Bedingungen nicht diskriminierend sind, obliegt dem Dateninhaber.
Auch wenn nach diesem Grundsatz die vom Dateninhaber verlangte Vergütung angemessen sein muss, sieht der Vorschlag für den Data Act im Hinblick auf Anträge von Kleinst-, kleinen und mittleren Unternehmen vor, dass die Vergütung die Kosten, die in unmittelbarem Zusammenhang mit der Bereitstellung der Daten an den Datenempfänger stehen und auf den Antrag zurückgehen, nicht übersteigen darf (d.h., die Daten müssen auf Selbstkostenbasis bereitgestellt werden).
Für Streitigkeiten im Zusammenhang mit der Festlegung von FRAND-Bestimmungen im Hinblick darauf, ob Daten transparent zur Verfügung gestellt wurden, sind die Mitgliedstaaten verpflichtet, zusätzlich zum jeweiligen staatlichen Gerichtswesen ein Streitbeilegungssystem einzurichten, das aus Streitbeilegungsstellen besteht, die von den jeweiligen Mitgliedstaaten gem. den Anforderungen des Data Act – (i) erforderliche Sachkenntnis, (ii) faires Verfahren, (iii) leichte Zugänglichkeit und (iv) schnelle Entscheidung – zu zertifizieren sind. Gibt es keine Streitbeilegungsstelle, die diese Anforderungen erfüllt, muss der Mitgliedstaat die Stelle selbst einrichten. Die Streitbeilegungsstellen müssen ihre begründete Entscheidung innerhalb von 90 Tagen schriftlich oder auf einem dauerhaften Datenträger bekannt geben. Die Entscheidung wird für die Parteien nur dann verbindlich, wenn sie dem vor Beginn des Streitbeilegungsverfahrens ausdrücklich zugestimmt haben. Im Übrigen lässt der Data Act das Recht auf Zugang zu staatlichen Gerichten unberührt.
Pfeiler 3 des Data Act: Verbot unbilliger Bestimmungen
Ebenso sieht der Vorschlag für den Data Act eine externe Kontrolle von Vertragsklauseln im B2B-Bereich vor, die mit derjenigen unter der Richtlinie über missbräuchliche Klauseln in Verbraucherverträgen (93/13/EWG), die nur für B2C-Beziehungen gilt, vergleichbar ist. Wird einem Kleinst-, kleinen oder mittleren Unternehmen eine unbillige Vertragsklausel über den Zugang zu und die Verwendung von Daten oder die Haftung und die Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Verpflichtungen von einem anderen Unternehmen einseitig auferlegt, ist sie nicht verbindlich.
Unbillig ist eine Vertragsklausel, wenn ihre Verwendung in grober Weise von der guten Handelspraxis bei Datenzugang und -nutzung abweicht, also gegen Treu und Glauben und lauteres Geschäftsgebaren verstößt. Eine Vertragsklausel gilt als einseitig auferlegt i.S.d. Artikels, wenn sie von einer Vertragspartei gestellt wurde und die andere Vertragspartei trotz eines Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte.
Ähnlich wie die Richtlinie über missbräuchliche Vertragsklauseln in Verbraucherverträgen (93/13/EWG) enthält der Vorschlag für den Data Act eine Aufstellung von Voraussetzungen, aufgrund derer Vertragsklauseln als unbillig anzusehen sind. Diese Kontrolle der Vertragsklauseln gilt jedoch nicht für Klauseln, die den Hauptgegenstand des Vertrags oder den zu zahlenden Preis festlegen. Lässt sich die unbillige Vertragsklausel von den übrigen Bestimmungen des Vertrags trennen, bleiben diese übrigen Bestimmungen verbindlich.
Pfeiler 4 des Data Act: B2G-Datenaustausch
Der Vorschlag für den Data Act enthält auch Vorschriften über die Bereitstellung von Daten für öffentliche Einrichtungen und Organe, Agenturen oder Einrichtungen der Union. Während dieser B2G-Datenaustausch ein zentrales Element des ursprünglichen Kommissionsvorschlags vom letzten Jahr war, wurde sein Umfang nach der Kritik der Interessengruppen und des kommissionsinternen Prüfungsausschusses erheblich eingeschränkt.
Der endgültige Kommissionsvorschlag sieht vor, dass Unternehmen nur bei außergewöhnlichem Bedarf verpflichtet sind, staatlichen Stellen Daten zur Verfügung zu stellen. Ein außergewöhnlicher Bedarf wird als vorhanden erachtet, wenn die Daten für die Reaktion auf einen öffentlichen Notstand erforderlich sind oder das Fehlen von Daten die öffentliche Stelle daran hindert, eine bestimmte Aufgabe im öffentlichen Interesse zu erfüllen, und es nicht möglich ist, die Daten auf andere Weise zu erhalten.
Bei einem öffentlichen Notstand müssen die Daten kostenlos zur Verfügung gestellt werden.
Pfeiler 5 des Data Act: Übertragbarkeit und Normierung
Darüber hinaus gibt der Vorschlag für den Data Act einen Rahmen vor, der Nutzern den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten (z.B. Cloud-, Edge- u.a. Computing- und Datenspeicherdiensten) erleichtert. Dem Nutzer wird ein ausdrückliches, um Übertragbarkeits- und Kompatibilitätsverpflichtungen sowie Kündigungsvoraussetzungen zugunsten des Nutzers erweitertes Recht zum Anbieterwechsel zustehen. Die Anbieter von Datenverarbeitungsdiensten müssen wirtschaftliche, technische, vertragliche oder organisatorische Hindernisse beseitigen und sogar bei der Umstellung helfen. Ab einem bestimmten Zeitpunkt in der Zukunft werden die Wechselgebühren für den Nutzer zunächst gesenkt; später entfallen sie und sind nicht mehr zulässig. Anbieter von Datenverarbeitungsdiensten sind außerdem zur Umsetzung angemessener Maßnahmen zum Schutz der Daten vor internationaler Übermittlung oder staatlichem Zugriff verpflichtet.
Der Vorschlag für den Data Act schreibt außerdem Anforderungen und Standards für die offene Interoperabilität von Daten, Mechanismen und Dienste für die gemeinsame Nutzung von Daten, Datenräume, Datenverarbeitungsdienste sowie Anforderungen für intelligente Verträge für die gemeinsame Nutzung von Daten vor. Die Kommission wird die Befugnis erhalten, die Interoperabilitätsanforderungen durch delegierte Rechtsakte näher zu spezifizieren, und kann auch die europäischen Normungsorganisationen auffordern, harmonisierte Standards auszuarbeiten. Die Interoperabilität wird insbesondere die technischen Aspekte des Wechsels zwischen Datenverarbeitungsanbietern bestimmen.
Verstöße gegen den Data Act werden mit „wirksamen, verhältnismäßigen und abschreckenden“ Geldbußen geahndet, die seitens der von den Mitgliedstaaten für die Durchsetzung des Data Act für zuständig ernannten Behörden festgelegt werden. Diese Behörden nehmen Beschwerden entgegen, führen Untersuchungen durch, überwachen technische Entwicklungen und arbeiten mit den zuständigen Behörden anderer Mitgliedstaaten zusammen. In Übereinstimmung mit der Datenschutz-Grundverordnung können Geldbußen von bis zu EUR 20 Mio. oder im Falle von Unternehmen von bis zu 4 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) verhängt werden.
*Gemeint sind Personen jeder Geschlechtsidentität. Lediglich der leichteren Lesbarkeit halber wird künftig bei allen Bezeichnungen nur noch die grammatikalisch männliche Form verwendet.