Das europäische Datengesetz („Data Act“) steht vor der Tür

Das europäische Datengesetz („Data Act“) steht vor der Tür

Die Europäische Union hat sich vergangenen Monat über das europäische Datengesetz („Data Act“) – „EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz)“ – geeinigt, zum In-Kraft-Treten fehlt nur noch die Bestätigung von EU-Parlament und Rat der Europäischen Union (Rat der Mitgliedstaaten). Das Verhandlungsmandat ergibt sich aus der Version des europäischen Datengesetzes („Data Act“), die hier herunterzuladen ist.

Das Datengesetz, das, wie die Datenschutzgrundverordnung (DSGVO), in Form einer europäischen Verordnung ergeht, soll Nutzern das Recht einräumen, über die Verwendung der Daten zu bestimmen, die bei der Nutzung ihrer vernetzten Haushaltsgeräte und Autos, aber auch Industrieanlagen wie Windrädern anfallen. Das Potential dieser Daten soll in Europa künftig besser genutzt werden. Außerdem soll der Staat in Notfällen wie Hochwasserkatastrophen oder Waldbränden auf Daten, die in der Hand privater Unternehmen sind, zugreifen dürfen.

Weiterer Schritt der EU-Datenstrategie 2020 nach dem Daten-Governance-Rechtsakt („Data Governance Act“)

Lag der Fokus der EU-Kommission lange Zeit auf dem Datenschutzrecht, so setzt sie mit dem Data Act den Weg fort, den sie in ihrer Datenstrategie 2020 skizziert und mit dem ab September diesen Jahres anzuwendenden Data Governance Act begonnen hat.

Worum geht es beim europäischen Datengesetz?

Bei der Nutzung von Haushaltsgeräten, beispielsweise einer vernetzten Spülmaschine, fallen mittlerweile eine ganze Reihe von Daten an, die einen erheblichen Wert und noch größeres Potential bergen. Dies gilt unabhängig davon, ob diese Spülmaschine von Ihnen in Ihrer privaten Küche zur Säuberung der Teetassen vom Frühstück oder in Ihrem Großunternehmen zur Säuberung von Industrieabfall steht.

Bei vernetzten Geräten („Internet of Things“ – „IoT“) werden – ohne dass der Nutzer als Produzent der Rohdaten bislang selbst darauf zugreifen könnte –  die Daten Tausender von Spülmaschinen („Big Data“) – oder von den Rohdaten abgeleitete Daten – an den Hersteller gesandt. Dieser verarbeitet diese Rohdaten mehr oder weniger sinnvoll („Künstliche Intelligenz“) und gegebenenfalls an andere weitergibt, die Besseres oder Zusätzliches damit anfangen können.

Internet der Dinge („Internet of Things“ – „IoT“)

Neben Spülmaschinen mögen moderne, also vernetzte Autos („Connected Cars“) ein weiteres Beispiel abgeben. Diese „selbstfahrenden Rechner“ erheben riesige Datenmengen u.a. zu Nutzung (GPS-Position) und Fahrstil. Als Datengrundlage für den Fahrstil dient nach Untersuchungen des ADAC beispielsweise auch die Zahl der elektromotorischen Gurtstraffungen – etwa aufgrund starken Bremsens – oder zu hohe Motordrehzahl oder -temperatur dienen. Die Auto-Hersteller lassen sich diese Datenmengen nahezu exklusiv übertragen. Hier stellen sich längst Fragen zur Datentransparenz, Datenhoheit und Datensicherheit.

Ähnlich wie bei Gold oder Öl gibt es auch bei Daten Produzenten, Nutzer, Veredler, Händler und Verwender, also einen Markt für Daten und ein Netzwerk von Akteuren.

Diesen Markt will die EU nunmehr professionalisieren und beleben, u.a. indem rechtliche Unsicherheiten beseitigt werden. In Deutschland das Eigentum an Daten nicht möglich, so dass die Musik eher beim Zugriff auf Daten spielt. Und in diesem Bereich sind die amerikanischen Technologiegiganten einschließlich der US-Cloud-Anbieter (Amazon Web Services, Microsoft und Google) die Besten.

80 Prozent der von der Industrie gesammelten Daten werden nie genutzt

Wie häufig, so muss auch ein sich entwickelnder Datenmarkt aber reguliert werden, um den Zugang auch für mittelständische Unternehmen zu erleichtern. Die Europäische Kommission gibt an, 80 Prozent der von der Industrie gesammelten Daten würden nie genutzt werden, weil sie – unter anderem aus Sorge vor Konkurrenz – auf den Rechnern der Hersteller verbleiben.

In der Begründung des Vorschlags für die „EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) vom 23.2.2022 liest sich das so: „Geringes Vertrauen, widersprüchliche wirtschaftliche Anreize und technologische Hindernisse hemmen die volle Ausschöpfung des Potenzials der datengesteuerten Innovation.“

Daten sind mehr als das neue Öl oder das neue Gold

Mit dem europäischen Datengesetz soll das wirtschaftliche und gesellschaftliche Potenzial von Daten und Technologien freigesetzt werden und zum Aufbau eines Binnenmarkts für Daten beitragen. Wer vermeintlich vollmundig ausruft, Daten seien das neue Öl, könnte die Tragweite der Digitalisierung noch nicht erfasst haben. Daten sind nämlich viel wertvoller als Öl oder Gold, sie sind wegen ihrer beliebig häufigen und sehr günstigen Kopierbarkeit nach Ansicht der Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V unendlich wertvoll.

Um wen geht es?

Die Regelungen des europäischen Datengesetzes betreffen sowohl die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und staatliche Stellen (B2G).

Mit einigen Ausnahmen werden Klein- und Kleinstunternehmen, also Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter 10 Mio. EUR, zunächst nicht von der Großzahl der Pflichten des europäischen Datengesetzes betroffen sein. Bereits mittlere Unternehmen, die weniger als 250 Mitarbeiter und einen Jahresumsatz von unter 50 Mio. EUR bzw. eine Jahresbilanz von unter 43 Mio. EUR haben, müssen Pflichten aber voraussichtlich umsetzen.

Worum geht es?

Der Entwurf des „Data Act“ der EU reguliert die Datenübertragung und Interoperabilität von „vernetzten Produkten“ und versucht, für Bereitstellungspflichten zu angemessenen und nichtdiskriminierenden Bedingungen zu sorgen.

– Regulierung von „vernetzten Produkten“ –

In der Sache geht es darum, dass Dateninhaber verpflichtet werden, Nutzern vernetzter Produkte – solche sind beispielsweise oben erwähnte private und gewerbliche genutzte Spülmaschine – Zugang zu den durch ihr Nutzerverhalten erzeugten Daten zu verschaffen, die bislang häufig ausschließlich von Herstellern und Diensteanbietern verwertet werden.

– Bereitstellungspflichten –

Der Dateninhaber wird mit der in Rede stehenden EU-Verordnung verpflichtet, die generierten Daten Nutzern und Dritten bereitzustellen. Nutzern, also sowohl Verbrauchern als auch Unternehmen, wird also ein Anspruch gegeben, IoT-Daten (inklusive Metadaten) vom Dateninhaber zu erhalten und an Dritte in derselben Qualität weiterzugeben, wenn sie ein vernetztes Produkt besitzen.

– Angemessene und nichtdiskriminierende Bedingungen –

Im Verhältnis zu einem Datenempfänger (B2B) darf die Bereitstellung der Daten nur zu „fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise“ erfolgen. Dabei sind eine Reihe von Vertragsklauseln unzulässig, beispielsweise in Bezug auf eine Exklusivitätsverpflichtung.

– Informationspflichten –

Hersteller und Verkäufer solcher vernetzten Produkte müssen die Nutzer bereits vor Abschluss des Vertrages informieren u.a. über Art und Umfang der Daten, die bei der Nutzung voraussichtlich erzeugt werden, ob die Daten voraussichtlich kontinuierlich und in Echtzeit erzeugt werden und über die Absicht und Zwecke des Herstellers oder Dienstleisters, die Daten selbst zu nutzen oder Dritten zur Verfügung zu stellen.

– Interoperabilität –

Insbesondere Cloud-Diensteanbieter müssen einen einfachen und schnellen (in der Regel innerhalb von 30 Tagen) Wechsel über entsprechende Schnittstellen sowie durch Einhaltung entsprechender Interoperabilitätsstandards ermöglichen und vertraglich festhalten. Eine entsprechende Pflicht sieht im Ansatz bereits die Datenschutzgrundverordnung (DSGVO) vor; dieser bislang eher fruchtlosen Verpflichtung soll nun wirksam Nachdruck verliehen werden.

– Zugriff auch durch den Staat –

Unter außergewöhnlichen Umständen, beispielsweise bei Naturkatastrophen, sollen auch öffentliche Stellen Zugriff auf Daten erhalten können.

– Unzulässigkeit missbräuchlicher Klauseln –

Das europäische Datengesetz soll weiterhin missbräuchliche Vertragsbedingungen zwischen Dateninhabern und Datenempfängern verhindern. Dieses Ziel soll zum einen durch eine Generalklausel, aber zum anderen auch durch Beispielsklauseln erreicht werden, wie dem Verbot, einseitig das Recht zu bestimmen, ob gelieferte Daten vertragsgemäß sind oder Vertragsklauseln (einseitig) auszulegen.

Die EU-Kommission soll zudem Mustervertragsklauseln erlassen, die zur Vermeidung missbräuchlicher Klauseln verwendet werden können.

– Geschäftsgeheimnisse –

Verständlicherweise sorgten sich nicht nur im Vorfeld der Verabschiedung des europäischen Datengesetzes insbesondere Unternehmen um einen ausreichenden Schutz ihre Geschäftsgeheimnisse. Man stelle sich vor, dass ein Konkurrenzunternehmen von einem Mittelständler, der viel Geld und Zeit in die Forschung und Entwicklung gesteckt hat, nunmehr Zugang zu dessen Datenbestand verlangt. Um diesen Punkt wurde daher viel gerungen. Nunmehr verkündet zumindest die EU, dass „ein angemessenes Ausmaß an Schutz von Geschäftsgeheimnissen und Rechten des geistigen Eigentums sichergestellt“ sei.

Eine Nutzung der Daten zur Entwicklung konkurrierender Produkte ist ohnehin in jedem Fall untersagt, aber wenn das Geschäftsgeheimnis erst einmal den eigenen Rechner verlassen hat, könnte das Kind in vielen Fällen bereits in den Brunnen gefallen sein. Die Ablehnung der Offenlegung der Daten ist an eine Behörde zu melden, die diese auf ihre Plausibilität prüft.

Fazit

Die europäische Data Act-Verordnung bringt umfangreiche Neuerungen mit sich und kann dazu beitragen, dass sich ein gesamteuropäischer Markt etabliert, der die bislang ungehobenen oder nicht effizient verwerteten Datenschätze der Unternehmen zum Wohle sowohl der Verbraucher als auch der Unternehmen und des Staates hebt.

Es bleibt die Frage, ob Unternehmen insbesondere vor dem Hintergrund ihrer erarbeiteten Geschäftsgeheimnisse ausreichend Sicherheit und Anreiz zur Weitergabe ihrer Daten haben.

Handlungsempfehlungen für Unternehmen

In technischer Hinsicht werden Datenverarbeitungsanbieter ihre vernetzten Produkte gegebenenfalls an die neuen, rechtlichen Gegebenheiten anpassen wollen.

Auf Unternehmen kommen zudem abermals Informationspflichten vor und bei Vertragsschluss zu, auf die sie vorbereitetet sein sollten. Die Vertragsbedingungen sollten sie mit Mustervertragsbedingungen, sobald diese von der Kommission zur Verfügung gestellt werden, abgleichen.

Geschäftsgeheimnisse sollten verstärkt identifiziert und deren Schutz überprüft werden. Wenn auch Sie Beratung im Zusammenhang mit dem EU-Data-Act wünschen oder bereits konkreten Bedarf bei der Umstellung Ihrer Abläufe haben, unterstützen wir Sie gerne.

Autor: Oliver Korth, LL.M.