Durch den Data Act sollen insbesondere Datenfluss und Datennutzung gefördert werden. Dieser Beitrag gibt einen Überblick.
Am 27. November 2023 wurde der Data Act vom Rat der Europäischen Union angenommen, nachdem bereits am 9. November 2023 das Europäische Parlament dem Legislativvorhaben zugestimmt hatte. Damit steht dem Inkrafttreten nur noch die Ausfertigung im Amtsblatt der Europäischen Union entgegen (diese erfolgte am 22. Dezember 2023. Der finale Text ist hier abrufbar).
Link: EUR-Lex – 32023R2854 – EN – EUR-Lex (europa.eu)
Der Data Act lässt sich dabei grob in 3 Regelungskomplexe unterteilen:
- Datenzugangs- und Datenweitergabeansprüche
- Wechsel zwischen Datenverarbeitungsdiensten/ Interoperabilität
- Smart Contracts
Die größte Aufmerksamkeit hat bisher sicherlich der Datenzugangs- und Datenweitergabeanspruch des Nutzers gegen Dateninhaber erlangt. Daneben verdienen aber auch die Artikel zum Wechsel von Datenverarbeitungsdiensten Aufmerksamkeit.
Ziel des Data Acts: Schaffung eines Binnenmarktes für Daten und das Aufbrechen von Datensilos
Daten unterscheiden sich grundlegend von physischen Gegenständen. Sie können – anders als beispielsweise eine Schraube – mehrfach für unterschiedlichste Zwecke genutzt werden. Ebenso können Daten auch unbegrenzt vervielfältigt werden, ohne dass eine Abnutzung eintritt. Diese wesentliche Eigenschaft des digitalen Gutes „Daten“ stellt der Europäische Gesetzgeber gleich zu Beginn im ersten Erwägungsgrund fest.
Gleichzeitig wird sich von der Datennutzung ein großes Potential für Innovation und nachhaltiges Wirtschaftswachstum versprochen. Vor diesem Hintergrund verfolgt der Data Act das Ziel der „optimale[n] Verteilung der Daten zum Nutzen der Gesellschaft“ (Erwägungsgrund 2).
Weiter Anwendungsbereich, wie aus anderer Regulatorik bekannt
Der Anwendungsbereich des Data Act ist weitreichend und insbesondere in Art. 1 Data Act geregelt.
In sachlicher Hinsicht sind bezüglich der Datenzugangs- und Datenweitergabeansprüche vereinfacht gesagt IoT-Daten von vernetzten Produkten und mit diesen verbundenen Diensten erfasst. Die entsprechenden Definitionen finden sich in Art. 2 Nr. 5, 6, 15, 16 Data Act. Wichtig ist dabei, dass der Data Act ausdrücklich nicht nur für nicht-personenbezogene Daten, sondern auch für personenbezogene Daten gilt, Art. 1 Abs. 2 Data Act. Dabei ist leider keine trennscharfe Abgrenzung zur EU-Datenschutz-Grundverordnung (DSGVO) enthalten, sodass insofern noch viele Unklarheiten herrschen.
Räumlich gilt, wie etwa auch in der DSGVO, nach Art. 1 Abs. 3 Data Act das weitreichende Marktortprinzip.
Zukünftig Datenzugang by design erforderlich
Zwar gibt es für den Data Act gewisse Übergangsfristen (dazu sogleich), Art. 3 Abs. 1 Data Act löst für Unternehmen mit mehrjährigen Entwicklungszyklen und für Research and Development-Abteilungen im Grunde aber unmittelbaren Handlungsbedarf aus.
Nach Art. 3 Abs. 1 Data Act müssen vernetzte Produkte und verbundene Dienste so konzipiert sein, dass die relevanten Daten (einschließlich erforderlicher Metadaten)
standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.
Dieser Datenzugang by design muss für sämtliche vernetzte Produkte und mit diesen verbundene Dienste gewährleistet sein, die 32 Monate nach Inkrafttreten der Verordnung in Verkehr gebracht werden. Grob überschlagen müssen die Anforderungen also ab Q1/27 erfüllt werden. Vor diesem Hintergrund sollten bereits jetzt in Abstimmung mit den Forschungs- und Entwicklungsabteilungen die genauen Anforderungen erarbeitet werden.
Eine Pflicht zur Datenerhebung selbst ergibt sich aus dem Data Act jedoch nicht.
Datenzugang als wesentlicher Regelungsinhalt
Der Data Act sieht zwei wesentliche Ansprüche zur Förderung der Datenökonomie vor. Einerseits soll der Nutzer Zugang zu „seinen“ Daten beim Dateninhaber erhalten (Art. 3 Abs. 1, bzw. Art. 4 Abs. 1 Data Act). Andererseits kann der Nutzer die unmittelbare Weitergabe der Daten an einen Dritten* („Datenempfänger“) verlangen (Art. 5 Abs. 1 Data Act). Dadurch sollen insbesondere Folge- und Nebendienste – beispielsweise Versicherungen oder externe/ selbstständige Reparaturleistungen, etc. – gefördert werden.
Interessant in diesem Kontext ist, dass gemäß Art. 4 Abs. 13 Data Act auch der Dateninhaber selbst die durch den Kunden generierten, nicht-personenbezogenen Daten nur noch auf Grundlage einer vertraglichen Vereinbarung verwenden darf (Datenlizenzvertrag). Zudem bestehen gem. Art. 3 Abs. 2 und 3 Data Act (weitreichende) vorvertragliche Informationspflichten gegenüber dem (zukünftigen) Nutzer eines vernetzen Produktes oder verbundenen Dienstes.
Datenbereitstellung ist gewissen Rahmenbedingungen unterworfen
Die Art. 8-12 Data Act regeln die Pflichten des Dateninhabers, der zur Datenbereitstellung verpflichtet ist. Geregelt ist etwa, dass – auf Wunsch eines Nutzers – einem Datenempfänger Daten auch exklusiv bereitgestellt werden dürfen (Art. 8 Abs. 4 Data Act). Hinsichtlich der Gegenleistung regelt etwa Art. 9 Abs. 1 Data Act, dass der Dateninhaber vom Datenempfänger eine Gegenleistung mit angemessener Marge verlangen darf. Nach Abs. 4 gilt dies jedoch nicht, wenn der Datenempfänger ein kleines oder mittleres Unternehmen (KMU) oder eine gemeinnützige Forschungseinrichtung ist. Zudem ist in Art. 10 Data Act ein Streitbeilegungsverfahren ausführlich geregelt.
Gemäß Art. 41 Data Act wird die Kommission noch entsprechende Mustervertragsklauseln erstellen. Dies ist bisher noch nicht geschehen, soll aber innerhalb von 20 Monaten nach Inkrafttreten erfolgen.
„AGB-Kontrolle“ für Datenlizenzverträge, wenn versucht wurde über Klausel zu verhandeln
Der Unionsgesetzgeber erwartet durch den Data-Act den Abschluss einer Vielzahl von Verträgen über Datenzugang und Datennutzung. Daher regelt Art. 13 Data Act, unter welchen Umständen Vertragsklauseln als missbräuchlich gelten und daher keine Bindungswirkung entfalten. Anders als das klassische „AGB-Recht“ der §§ 307 ff. BGB findet der Art. 13 Data Act unmittelbare Anwendung auf Unternehmen. Im Gegensatz zum ersten Entwurf, der hier insbesondere Kleinstunternehmen sowie KMU geschützt hätte, sieht der jetzige Text eine Anwendung auf den gesamten B2B-Bereich vor. Auffällig ist dabei, dass es für eine Inhaltskontrolle gerade erforderlich ist, dass (erfolglos) über eine Klausel verhandelt wurde (Art. 13 Abs. 6 Data Act).
Datenbereitstellung für öffentliche Stellen als Lehre aus der Corona-Pandemie
Die Art. 14-22 Data Act kann man wohl als Lehre aus der Corona-Pandemie bezeichnen. Dort sind Datenzugangsansprüche für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit geregelt. Das Bereitstellungsverlangen unterliegt dabei aber engen Grenzen und erfordert beispielsweise das Vorliegen eines öffentlichen Notstandes sowie die Unmöglichkeit der rechtzeitigen und gleichwertigen Beschaffung der Daten über einen anderen Weg (vgl. Art. 15 Data Act).
Quasi als Gegenstück ist in Art. 32 Data Act der Schutz vor unrechtmäßigem staatlichem Zugang sowie unrechtmäßiger staatlicher Übermittlung geregelt.
Der Wechsel zwischen Datenverarbeitungsdiensten wird vereinfacht und mittelfristig kostenlos
Interessant sind auch die Regelungen in den Art. 23-31 sowie 33-36 Data Act. Dadurch soll der aktuell vielfach zu beobachtende Lock-In-Effekt reduziert werden. Dieser zeigt sich beispielsweise darin, dass der Wechsel von einem großen Hyperscaler zu einem anderen mit rechtlichen, technischen und ökonomischen Hürden verbunden ist. Durch den Data Act sollen diese Hürden abgebaut werden: Kurze Kündigungsfristen, technische Unterstützungsleistungen, schrittweise Abschaffung der Wechselentgelte.
Auch das Thema Interoperabilität wird im Data Act adressiert. Nach Art. 2 Nr. 40 Data Act handelt es sich dabei um „die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen;“. Auch diese Möglichkeit zur Zusammenarbeit soll Lock-In-Effekte reduzieren.
Smart Contracts werden reguliert
Sofern Smart Contracts („Intelligente Verträge”) für die Ausführung von Datenweitergabevereinbarungen verwendet werden, müssen gemäß Art. 36 Data Act gewisse Anforderungen erfüllt werden. Nach Art. 36 Abs. 1 lit. b) Data Act sind etwa sichere Beendigungs- oder Unterbrechungsmechanismen erforderlich.
Sanktionen orientieren sich an der DSGVO und können je nach Verstoß bis zu 4 % des weltweiten Jahresumsatzes betragen
„Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein“ – so bestimmt es Art. 40 Abs. 1 S. 2 Data Act. Entsprechend wird für Verstöße gegen die Datenbereitstellungs- und Datenweitergabepflichten auf die DSGVO-Bußgelder in Art. 83 Abs. 5 DSGVO verwiesen. Je nach Verstoß können also Bußgelder in Höhe von bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.
Zwar Übergangsfristen, aber kaum Bestandsschutz im Data Act
Art. 50 Data Act sieht ein zeitlich gestaffeltes Gültigwerden der einzelnen Regelungen vor:
- Inkrafttreten: 20 Tage nach Veröffentlichung im Amtsblatt der Europäischen Union
- Anwendung Grundsatz: 20 Monate nach Inkrafttreten
- Anwendung Sonderregeln:
- Art. 3 Abs. 1 Data Act (“Datenzugang by design”): Anwendung bei Inverkehrbringen ab 32 Monate nach Inkrafttreten
- Kapitel 3 („Pflichten der Dateninhaber”): Anwendung ab 20 Monate nach Inkrafttreten für Datenbereitstellungspflichten nach Unionsrecht
- Kapitel 4 („Daten-AGB-Recht”): Anwendung bei Vertragsschluss ab 20 Monate nach Inkrafttreten
- Kapitel 4 („Daten-AGB-Recht“): Anwendung unter gewissen Umständen auch auf Altverträge ab 44 Monate nach Inkrafttreten
Mit anderen Worten: Ein grundsätzlicher Bestandsschutz für „Altprodukte“ oder „Altverträge“ ist im Data Act nicht vorgesehen.
Mit einem Inkrafttreten ist spätestens in Q1/2024 zu rechnen
Mit Ausfertigung im Amtsblatt ist spätestens in Q1/2024 zu rechnen, sobald der Sprachendienst die Schlussredaktion samt Übersetzungen fertiggestellt hat. In diesem Prozess kann es auch noch zu redaktionellen Änderungen samt Ziffernverschiebungen kommen.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
This article is also available in English.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.