Der Gesetzesvorschlag zum Data Act sieht die Einführung eines umfassenden und weitreichenden Regelungswerks für den Zugang zu und die Verwendung von Daten in der EU vor.
Im Februar 2022 hat die Europäische Kommission ihren Vorschlag für den Data Act vorgelegt. Die Regeln würden – ähnlich wie bei der Datenschutzgrundverordnung (DSGVO) – auch auf Unternehmen mit Sitz außerhalb der EU Anwendung finden. Im Data-Act-Entwurf wird sektorübergreifend geregelt, von wem, wie und für welche Zwecke Daten in der EU verwendet werden dürfen. Mit den weitreichenden Regelungen sollen neue datengetriebene Geschäftsmodelle ermöglicht und gefördert werden.
Das geplante Gesetz eröffnet jedoch nicht nur eine Vielzahl neuer Möglichkeiten, sondern stellt die Wirtschaft auch vor erhebliche rechtliche Herausforderungen. Der Vorschlag für einen EU Data Act war daher Gegenstand intensiver Diskussionen. Nachdem die beiden Co-Gesetzgeber Europäisches Parlament und Rat der Europäischen Union, die das Gesetz gemeinsam verabschieden müssen, ihre jeweiligen Positionen für die finalen Verhandlungen beschlossen hatten, haben am 29. März 2023 die abschließenden Verhandlungen der Gesetzgeber, zu denen auch die Europäische Kommission konsultiert wird (sog. Trilog), begonnen.
Sowohl das Europäische Parlament als auch der Europäische Rat fordern eine Reihe von Änderungen am Kommissionsvorschlag, insbesondere im Hinblick auf das Verhältnis des geplanten Datenrechts zum Datenschutzrecht, zum Schutz von Geschäftsgeheimnissen, zum Umfang von Datennutzungsrechten der Dateninhaber, zu Datenzugangsansprüchen von Behörden gegenüber Unternehmen oder zu internationalen Datentransfers. Die Positionen der beiden Gesetzgeber liegen in den meisten Punkten jedoch nicht allzu weit auseinander. Eine rasche Einigung ist daher wahrscheinlich.
Data Act soll die rechtlichen, wirtschaftlichen und technischen Hindernisse, die für die unzureichende Nutzung von Daten verantwortlich sind, beseitigen und den Weg für eine stärkere Datennutzung freimachen
Der Kommissionsvorschlag stützt sich auf den Grundgedanken, dass Industriedaten – von denen 80 % bisher nicht genutzt werden – ein bislang nicht ausgeschöpftes Potenzial bergen. Der Vorschlag der Kommission enthält eine Reihe von Vorschriften darüber, wer verschiedene Arten von Daten für Zwecke über alle Wirtschaftszweige in der EU hinweg verwenden und darauf zugreifen darf.
Nach dem Entwurf müssen weite Teile des auf gewerblichem Gebiet und von Verbrauchern* im Zusammenhang mit vernetzten Geräten und digitalen Diensten gesammelten Datenbestands technisch und rechtlich den Nutzern zugänglich gemacht werden, die die Daten anschließend an Dritte weitergeben können. Die vertraglichen Beziehungen zwischen Unternehmen, die Daten gemeinsam nutzen, werden geregelt, einschließlich der Einführung eines FRAND(Fair, Reasonable and Non Discriminatory terms)-Standards. Überdies werden Nutzer von Datenverarbeitungsdiensten, wie z.B. Cloud-Computing-Diensten, die Möglichkeit haben, ihren Dienstanbieter problemlos zu wechseln.
Alle Aspekte der Regelung tragen dem Schutz von Geschäftsgeheimnissen und den besonderen Bedürfnissen von Kleinst-, kleinen und mittleren Unternehmen Rechnung.
Der Vorschlag für den Data Act stellt eine horizontale Regelung dar (d.h., er gilt sektorübergreifend) und umfasst fünf Bereiche von Vorschriften für den Zugang zu und die Verwendung von nicht personenbezogenen Daten in der EU:
- Vorschriften, die es Nutzern von vernetzten Geräten (Produkte und Dienste des Internets der Dinge [IoT], virtuelle Assistenten) ermöglichen, Zugang zu den von ihnen erzeugten Daten zu erhalten und diese Daten an Dritte weiterzugeben (Datenaustausch zwischen Unternehmen [B2B] sowie zwischen Unternehmen und Verbrauchern [B2C])
- Vorschriften über die Bedingungen für den Datenzugang im Rahmen des Data Act oder anderer EU-Rechtsvorschriften, insbesondere die Einführung des FRAND-Standards (Datenzugangsbedingungen)
- Vorschriften zur Verhinderung des Missbrauchs vertraglicher Ungleichgewichte in Verträgen mit KMU über die gemeinsame Nutzung von Daten (Verbot unbilliger Bestimmungen)
- Instrumente für öffentliche Stellen, um auf Daten im Besitz des privaten Sektors zugreifen und diese nutzen zu können, wenn dies unter außergewöhnlichen Umständen, insbesondere im Falle eines öffentlichen Notstands, erforderlich ist (Datenaustausch zwischen Unternehmen und Behörden [B2G])
- Vorschriften, die es Kunden ermöglichen, wirksam zwischen verschiedenen Anbietern von Cloud-Datenverarbeitungsdiensten zu wechseln, und die die Einführung von Schutzmaßnahmen gegen unrechtmäßige Datenübertragungen vorsehen (Portabilität und Normierung)
Rat und Parlament haben den Vorschlag der Kommission zum Data Act begrüßt, ihn aber dennoch mehrere Monate lang sehr intensiv diskutiert
Der Data Act unterliegt dem ordentlichen Gesetzgebungsverfahren, d.h., sowohl der Rat als auch das Parlament müssen den Gesetzesvorschlag beschließen.
Die Kommission betritt mit ihrem Vorschlag Neuland. Während rechtliche Regelungen zu Daten bisher vor allem auf deren Schutz ausgerichtet waren (und damit im Zweifelsfall ihre Nutzung ausschlossen), zielt der Vorschlag des Data Act in die andere Richtung, nämlich auf die Nutzbarkeit von Daten.
Der Schwerpunkt der Erörterungen lag sowohl im Rat als auch im Parlament auf den Bedenken der Industrie, dass zu weitreichende Zugangsansprüche es Wettbewerbern ermöglichen könnten, ihre Produkte auszuspionieren. Weitere Schwerpunkte waren das Verhältnis zum Datenschutzrecht und den Zugangsrechten von öffentlichen Stellen sowie schließlich die Datenübermittlung.
Position des Europäischen Parlaments vom 14. März 2023
Das Europäische Parlament hat seine Position für die abschließenden Verhandlungen zuerst beschlossen. Am 14. März stimmten die Abgeordneten des Europäischen Parlaments für die im Abschlussbericht der Berichterstatterin Pilar del Castillo Vera vorgeschlagenen Änderungen am Data-Act-Entwurf.
Das Parlament unterstützt den Vorschlag der Kommission grds. und hebt hervor, dass das geplante Gesetz zur Entwicklung neuer Dienste beitragen könnte, insbesondere im Bereich der künstlichen Intelligenz, wo riesige Datenmengen für das Training von Algorithmen benötigt werden. Das Parlament verspricht sich weiter mehr Wettbewerb im Aftermarket bei vernetzten Geräten.
Dennoch fordern die Abgeordneten diverse Änderungen an dem von der Kommission vorgeschlagenen Text. Wichtige Änderungen betreffen die Definition zentraler Begriffe, eine weitere Stärkung der Position des Nutzers (bei gleichzeitiger Einschränkung der Nutzungsrechte des Dateninhabers), den Umfang des Rechts auf Datenzugang und die Kontrolle der Hersteller über die Daten, die sie durch entsprechende technische Gestaltung ihrer Produkte („by design“) zur Verfügung stellen wollen, statt den Zugang zu allen Daten vorzuschreiben, die von Produkten oder Dienstleistungen gesammelt werden.
Darüber hinaus wollen die Abgeordneten den Schutz von Geschäftsgeheimnissen stärken. Sie weisen dabei insbesondere auf die Gefahr hin, dass Wettbewerber den Datenzugang nutzen könnten, um Produkte durch sog. Reverse Engineering zu kopieren. Des Weiteren verlangt das Parlament höhere Anforderungen für Datenzugangsansprüche seitens öffentlicher Stellen. Schließlich schlägt das Parlament zusätzliche Sicherheitsmaßnahmen gegen unrechtmäßige internationale Datentransfers durch Anbieter von Cloud-Diensten vor.
Position des Rates vom 24. März 2023 zum Data-Act-Entwurf
Kurz nach dem Parlament einigten sich am 24. März auch die Mitgliedstaaten im Rat der Europäischen Union auf ihre Position zum Data-Act-Entwurf. Wie das Parlament unterstützt auch der Rat das Gesamtkonzept des vorgeschlagenen Gesetzes und das Ziel, „die EU zu einem Vorreiter in unserer datengesteuerten Gesellschaft zu machen“.
Aber auch die Mitgliedstaaten fordern eine ganze Reihe von Änderungen an dem Gesetzesentwurf. Diese Änderungswünsche betreffen insbesondere einen schärfer abgegrenzten Anwendungsbereich des Gesetzes, Klarstellungen zum Zusammenspiel zwischen dem geplanten Data Act und dem Datenschutzrecht, den Schutz von Geschäftsgeheimnissen, die Voraussetzungen für außergewöhnliche Erfordernisse als Basis für Datenzugangsansprüche von Behörden sowie die Regelungen zu Wechselmöglichkeiten im Hinblick auf Datenverarbeitungsdienste.
Der erste Trilog hat stattgefunden – die Forderungen liegen auf dem Tisch
Am 29. März 2023 fand der erste Trilog statt. Rat und Parlament fordern in ihren Positionen Änderungen zu ähnlichen Punkten, gleichzeitig scheinen die Forderungen der beiden Co-Gesetzgeber nicht allzu weit auseinanderzuliegen. Damit spricht viel dafür, dass die Trilog-Verhandlungen rasch voranschreiten und eine Einigung noch vor der Sommerpause oder unmittelbar danach erzielt werden könnte.
In den weiteren Verhandlungen wird es insbesondere um diese wichtigen Punkte gehen:
- Anwendungsbereich: Nach dem Willen des Rates sollen die Zugriffsrechte nicht alle Daten, die von IoT-Geräten und zugehörigen Diensten generiert werden, umfassen, sondern nur für solche Daten gelten, die für den Dateninhaber „ohne weiteres verfügbar“ sind. Dadurch wird die Belastung für die Unternehmen erheblich reduziert. In ähnlicher Weise will das Parlament nur Daten zugänglich machen, die für Dateninhaber oder -empfänger verfügbar sind. Hier wird es wichtig sein, eine möglichst klare und praktikable Lösung zu finden.
- Schutz von Geschäftsgeheimnissen: Sowohl der Rat als auch das Parlament fordern einen stärkeren Schutz von Geschäftsgeheimnissen. Zu diesem Zweck schlägt der Rat ein Vetorecht für den Dateninhaber gegen Datenzugriffsansprüche vor – jedoch nur unter sehr außergewöhnlichen Umständen und wenn der Dateninhaber ein hohes Risiko für einen sehr schweren Schaden (Insolvenzrisiko) nachweisen kann. Nach dem Willen des Parlaments soll der Dateninhaber das Recht haben, die Bereitstellung von Daten im Falle der Nichteinhaltung der zwischen Dateninhaber und Datenempfänger vereinbarten Schutzmaßnahmen auszusetzen. Beide Mitgesetzgeber erkennen an, dass Geschäftsgeheimnisse eines besonderen Schutzes bedürfen, um zu vermeiden, dass Innovationsanreize untergraben werden. Keiner der Ansätze scheint jedoch ganz ausgereift zu sein. Hier wird (und muss) ein Schwerpunkt der Verhandlungen liegen.
- Gatekeeper: Sowohl der Rat als auch das Parlament erhalten das „Gatekeeper-Verbot“ aufrecht, wonach Unternehmen, die von der Kommission nach dem Digital Markets Act (DMA) als Gatekeeper benannt werden, keine Datenzugangsansprüche geltend machen können. Dies gilt nicht nur in Bezug auf ihre jeweiligen zentralen Plattformdienste (core platform services), sondern generell. Diese sehr weitreichende Einschränkung wird weiterhin Gegenstand von Diskussionen sein, insbesondere, weil der Data Act laut Gesetzesmaterialien nicht der Gatekeeper-Regulierung dienen soll, sondern der Stärkung der Datenwirtschaft, in der (potenzielle) Gatekeeper ein wichtiges Element darstellen.
- Vergütung für Datenzugang: Nach dem Vorschlag der Kommission kann ein Dateninhaber eine Vergütung für die Bereitstellung von Daten an Dritte verlangen, wobei dies zu angemessenen und nicht diskriminierenden Bedingungen erfolgen muss. Der Rat möchte klarstellen, dass auch eine Marge vorgesehen werden kann und so nicht nur die Kosten für die Bereitstellung der Daten, sondern auch die für die Datenerhebung getätigten Investitionen berücksichtigt werden können. Dagegen fordert das Parlament einen kostenlosen Datenaustausch mit Verbrauchern und eine nur auf den Bereitstellungskosten basierende Vergütung gegenüber KMU und gemeinnützigen Organisationen. Darüber hinaus soll die Kommission nach dem Vorschlag des Parlaments Leitlinien für die Berechnung einer angemessenen Vergütung erstellen. Bei Datenzugriffsanfragen von Behörden gegenüber Unternehmen wollen sowohl das Parlament als auch der Rat dem Dateninhaber das Recht einräumen, eine angemessene Vergütung zu verlangen, die „mindestens die Kosten deckt“ (Parlament) oder „eine Marge vorsieht“ (Rat) (jeweils mit dem Recht der öffentlichen Stelle, den Betrag bei den zuständigen Behörden anzufechten), während die Kommission einer ausschließlich kostenbasierten Vergütung den Vorzug gibt.
- Rolle des Nutzers: Während der Rat im Wesentlichen den Kommissionsvorschlag zur Rolle des Nutzers übernimmt, will das Parlament die Position des Nutzers erheblich stärken, indem es die Einwilligung (einschließlich eines Widerrufsrechts) des Nutzers hinsichtlich der Nutzung der Daten durch den Dateninhaber verlangt, dem Nutzer das Recht einräumt, Daten an Dritte weiterzugeben (einschließlich des Rechts, eine Vergütung für die Weitergabe der Daten zu verlangen) und das Recht des Dateninhabers einschränkt, die Verwendung seines Produkts von der Zustimmung des Nutzers abhängig zu machen. Darüber hinaus ist es dem Dateninhaber nicht gestattet, die Daten für andere Zwecke als seine eigenen internen Prozesse zu verwenden oder die Daten direkt an Dritte weiterzugeben. Der Nutzer darf auch konkurrierende Produkte entwickeln, solange diese nicht in unmittelbarem Wettbewerb mit dem Produkt stehen, von dem die Daten stammen. Überdies wird der Geltungsbereich dieser Regelungen auf abgeleitete Daten ausgedehnt, sofern diese keine Informationen darstellen, die durch komplexe proprietäre Algorithmen aus diesen Daten abgeleitet oder gefolgert wurden.
- Missbräuchliche Vertragsklauseln: Sowohl der Rat als auch das Parlament haben die Bestimmungen über missbräuchliche Vertragsklauseln auf alle Beziehungen zwischen Unternehmen (nicht nur Beziehungen zu Kleinst-, kleinen und mittleren Unternehmen) ausgeweitet. Das Parlament hat außerdem weitere Beispiele für missbräuchliche Vertragsklauseln hinzugefügt und den Anwendungsbereich durch die Einführung unscharfer Kriterien, wie der Beeinträchtigung der Fähigkeit, ein „berechtigtes geschäftliches Interesse an den betreffenden Daten“ zu schützen, oder eines „erhebliche[n] Ungleichgewicht[s] zwischen den Rechten und Pflichten der Vertragsparteien“, erweitert. Insbesondere sieht das Parlament auch eine rückwirkende Wirkung dieser Vorschriften vor, wodurch eine Überprüfung und ggf. entsprechende Änderung aller bestehenden Vereinbarungen erforderlich wird.
- Wechsel des Cloud-Anbieters: Zusätzliche Vorschriften für Cloud-Anbieter (Wahrung der Geheimhaltung von Daten während des „Portierungsprozesses“, Metadaten als Kundendaten, vertragliche Verpflichtung zur vollständigen Löschung aller Daten, einschließlich der Metadaten, nach Abschluss der Portierung). Der Rat hat insbesondere eine zusätzliche Formulierung bezüglich der Umstellung auf beim Kunden in eigenen Räumlichkeiten betriebene Systeme (on-premise systems) eingefügt. Das Parlament wiederum hat eine präzisere Begriffsbestimmung des Konzepts der „Funktionsäquivalenz“ hinzugefügt, die besagt, dass der „übernehmende Dienst als Reaktion auf dieselben Eingaben ein vergleichbares Ergebnis liefert“. Diese Definition ist kürzer als der Kommissionsvorschlag und spart die Anforderung aus, dass der übernehmende Dienst auch das gleiche Niveau an Sicherheit, Betriebsstabilität und Dienstqualität bieten muss.
- Internationale Datentransfers: Das Parlament verlangt noch strengere Sicherheitsmaßnahmen für Übermittlungen an Drittländer. Bei Fehlen eines internationalen Abkommens über die Datenübermittlung sollte dies im Falle eines (möglichen) Konflikts mit EU-Recht nur nach einer Prüfung durch die zuständige Behörde möglich sein. Eine zusätzliche Formulierung des Rates soll Datenübermittlungen schützen, wenn diese die nationalen Sicherheits- oder Verteidigungsinteressen der Union oder eines Mitgliedstaates beeinträchtigen können.