23 Februar 2022 Dr. Daniel Pauly  -  Dr. Anna-Katharina Lohbeck Datenschutz

EU: „Data Act“ – Wie fair ist der Entwurf der Verordnung für mehr Fairness in der Datenwirtschaft?

Während die durch Menschen und Maschinen generierte Datenmenge exponentiell zunimmt, steht ihr Wert nur wenigen großen Unternehmen offen und große Teile dieses Datenschatzes bleiben gänzlich ungenutzt. Insbesondere kleinere und mittlere Unternehmen konnten bislang nur wenig von den Daten am Markt profitieren, wodurch ihnen die Entwicklung neuer Produkte sowie das Ergreifen von Expansionschancen erschwert war. Diesem Problem sucht die Europäische Kommission mit dem Verordnungsentwurf des Data Act zu begegnen, der heute offiziell vorgestellt wird. Der Entwurf ist Teil der europäische Datenstrategie (COM(2020) 66 final, S. 3 ff.) mit dem Ziel der Schaffung eines europäischen Binnenmarktes für Daten und der Vereinfachung des Austausches und der Nutzung von Daten zwischen Unternehmen, Behörden und Individuen. 

Die Ziele im Einzelnen

Im Einzelnen verfolgt der Data Act folgende Ziele:

  • die Vereinfachung des Zugangs und der Nutzung von Daten durch Unternehmen und Verbraucher und das Schaffen von Anreizen für Investitionen in Möglichkeiten der Wertschöpfung mithilfe von Daten
  • die Gewährleistung, dass öffentliche Stellen und Unionsorgane, Agenturen oder sonstige Stellen Daten von Unternehmen in bestimmten Situationen (Krisensituationen, etwa eine Pandemie) nutzen können
  • die Erleichterung des Wechsels zwischen Cloud- und Edge-Services für Kunden
  • die Vorsorge gegen rechtswidrige Datentransfers durch Datenverarbeitungsanbieter mithilfe von Sicherheitsmechanismen
  • die Entwicklung von Interoperabilitätsstandards für Daten, sodass Daten in unterschiedlichen Branchen wiederverwendet werden können und der Abbau von Hürden beim Austausch von Daten zwischen gemeinsamen domänenspezifischen innereuropäischen Datenräumen sowie im Hinblick auf Daten, die nicht Teil eines gemeinsamen innereuropäischen Datenraums sind.

Rechte und Pflichten unter dem Data Act

  • Recht auf Zugang: Wer zur Erzeugung von Daten beigetragen hat, soll auch kostenlos Zugang zu den Daten haben – unabhängig davon, ob es sich um eine Einzelperson oder ein Unternehmen handelt. Der Kreis der Berechtigten erfasst hierbei alle „Nutzer“, d. h. diejenigen Personen, die ein Produkt besitzen, es gemietet oder geleast haben.
     
    Von der Verordnung sind lediglich die Daten bestimmter Produkte umfasst, die
    z. B. Leistungs-, Gebrauchs- oder Umgebungsdaten erheben und diese mittels elektronischen Kommunikationsdiensten übermitteln können (sog. Internet of Things). Dies können beispielsweise die Daten (teilweise) autonom fahrender Autos, Industrieroboter, elektronischer Gesundheitsprodukte oder vernetzter Geräte im Haushalt sein. Nicht erfasst sein sollen dagegen diejenigen Daten, die lediglich mittels menschlicher Eingabe erhoben werden, beispielsweise zur Nutzung von Online-Diensten über den PC, das Smartphone, Webcams und andere Produkte.
     
    Verpflichteter dieses Anspruchs ist der Dateninhaber, also diejenige natürliche oder juristische Person, die nach Unionsrecht oder nationalem Recht berechtigt oder verpflichtet ist, die nicht-personenbezogenen Daten bereitzustellen bzw. die zur Bereitstellung dieser Daten in der Lage ist. Dies kann beispielsweise ein Hersteller vernetzter Produkte sein. Um das Recht auf Zugang effektiv zu gestalten, sollen Produkte bereits so konzipiert werden, dass die durch sie generierten Daten dem Nutzer leicht zugänglich gemacht werden können. Der Nutzer darf die Daten jedoch nicht zur (Weiter-)Entwicklung eines Konkurrenzprodukts nutzen. Ein Automobilkonzern dürfte somit beispielsweise nicht die Fahrzeugdaten autonom fahrender Autos eines Konkurrenzunternehmens dazu nutzen, seine eigenen autonom fahrenden Fahrzeuge zu verbessern.
  • Recht auf Weitergabe: Über das Recht auf Zugang hinaus hat der Nutzer  auch das Recht, zu verlangen, dass die Daten, die bei der Benutzung des jeweiligen Produkts oder damit verbundenen Services erzeugt wurden, unverzüglich, für den Nutzer unentgeltlich und – gegebenenfalls auch fortlaufend – einem Dritten zugänglich gemacht werden. Dabei ist insbesondere bei der Weitergabe an Dritte darauf zu achten, dass durch Sicherheitsmechanismen gewährleistet ist, dass Geschäftsgeheimnisse gewahrt werden. Der Schutz von Geschäftsgeheimnissen schließt die Weitergabe der Daten aber nicht grundsätzlich aus. 
     
    Im Rahmen des Rechts auf Datenweitergabe wie auch beim Recht auf Zugang dürfen Dateninhaber außerdem nicht in unzulässiger Weise auf den Nutzer einwirken. Vergleichbar mit der Problematik bei „Cookie-Bannern“, darf folglich nicht die Benutzeroberfläche so gestaltet werden, dass der Nutzer bei der Entscheidung über die Autorisierung von Zugriff und Weitergabe negativ beeinflusst wird. Vielmehr muss es für den Nutzer genauso einfach sein, den Zugang zu den Daten durch Dritte abzulehnen oder einzustellen, wie diesen zu ermöglichen.
  • Smart Contracts: Der Dateninhaber ist verpflichtet, angemessene technische Sicherheitsmechanismen gegen unberechtigten Zugriff und zur Sicherung des normgemäßen Ablaufs von Datenzugriff und -weitergabe zu ergreifen. Hierzu und zur Automatisierung und Beschleunigung der Datennutzung und -übertragung können nunmehr explizit auch Smart Contracts genutzt werden. Die Mindestanforderungen für den Datenaustausch beschreibt der Verordnungsentwurf in den Artikeln 28 und 30.
  • Wechsel zwischen Cloud-Anbietern: Unternehmen und Privatpersonen soll es zudem erleichtert werden, Cloud-, Edge- oder andere Datenverarbeitungsdienste zu wechseln. Ein Ziel der Verordnung ist es hierbei, dass die Schnittstellen und Plattformen der am Wechsel beteiligten Serviceanbieter so vereinheitlicht werden, dass sie miteinander kompatibel sind. Hierdurch soll zu einem faireren Wettbewerb zwischen verschiedenen Dienstleistern auf dem Markt beigetragen werden. Bei internationalen Datentransfers sollen Anbieter von Datenverarbeitungsdiensten außerdem angemessene Maßnahmen technischer, rechtlicher (einschließlich vertraglicher) oder organisatorischer Art treffen, um den Zugriff von Nicht-EU-Staaten bzw. deren Behörden auf nicht-personenbezogene Daten zu unterbinden, sofern eine solche Übermittlung bzw. ein solcher staatlicher Zugriff nicht mit dem Unionsrecht oder dem nationalen Recht des betreffenden Mitgliedstaats vereinbar wäre. Hintergrund hierfür ist, dass die bestehenden Regelungen und Garantien der DS-GVO für nicht-personenbezogene Daten nicht gelten und auch der Entwurf des „Data Governance Acts“ Dienste von Cloud-Computing-Dienstleistern (im derzeitigen Entwurf) nicht abdeckt.
  • Ausnahmen: Die von Kleinst- und Kleinunternehmen generierten Daten sind von den Pflichten der Verordnung ausgenommen, solange die Unternehmen nicht wirtschaftlich von größeren Unternehmen, die ihrerseits unter der Verordnung verpflichtet sind, abhängig sind.

„Gatekeeper“ – und was für sie gilt

Der Begriff Gatekeeper hat seinen Ursprung im geplanten Digital Markets Act und erfasst besonders große oder einflussreiche Unternehmen, insbesondere die US-amerikanischen Internetriesen. Für sie sollen nach dem Data Act Einschränkungen gelten, damit sie nicht zu Profiteuren der neuen Regelungen werden. So sollen sie als Empfänger der Daten bei Weitergabe durch einen Nutzer ausgeschlossen werden. 

 
Darüber hinaus dürfen sie auch nicht von sich aus tätig werden und z. B. finanzielle Anreize für Nutzer schaffen, damit diese ihnen durch Geltendmachung ihres Zugangsrechts erlangte Daten zur Verfügung stellen. Ebenso wenig dürfen sie den Nutzer durch die Anreize dazu bringen, den Dateninhaber zur Weitergabe an den Gatekeeper anzuweisen.
 
Ihre Chancen, auf anderem Wege über Dritte an die Daten zu gelangen, stehen eher schlecht. Denn Personen, denen die Daten auf Antrag offengelegt wurden, ist es nach dem Privacy Act verboten, diese einem Gatekeeper verfügbar zu machen. Sie dürfen im Hinblick auf diese Daten z.B. auch nicht einen Gatekeeper mit der Erbringung von Dienstleistungen unterbeauftragen. Der Data Act beschränkt allerdings Gatekeeper darüber hinaus nicht darin, sich diese Daten auf anderen rechtmäßigen Wegen zu beschaffen. Ebenso wenig werden Dritte durch die Verordnung davon abgehalten, Serviceleistungen von den Gatekeepern in Anspruch zu nehmen.

 

Mehr Daten für öffentliche Stellen

Auch öffentliche Stellen sollen zukünftig auf der Grundlage des Data Act in die Lage versetzt werden, bei Bedarf, etwa einem staatlichen Katastrophenfall oder einer Pandemie, einen Antrag auf Zugang zu Daten privater Organisationen stellen zu können.

Öffentliche Stellen, Unionsorgane, Agenturen oder Unionseinrichtungen dürfen diese Daten dann ihrerseits unter bestimmten Voraussetzungen Dritten zu Forschungszwecken zugänglich machen.

Verhältnis zu anderen Vorschriften

Nach Einschätzung der Europäischen Kommission steht der Data Act im Einklang mit den Regelungen zur Verarbeitung personenbezogener Daten – insbesondere der DS-GVO – und der Vertraulichkeit der Kommunikation nach der e-Privacy-Richtlinie, die voraussichtlich bald durch die e-Privacy-Verordnung ersetzt werden wird. Insbesondere verweist der Data Act i. R. d. Rechte auf Zugang und Weitergabe an Dritte wiederholt auf die Anforderungen des Art. 6 DS-GVO. Im Übrigen bestehen Berührungspunkte und Überschneidungen mit den Regelungsbereichen zahlreicher anderer europäischer Gesetze, beispielsweise mit der Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, mit wettbewerbsrechtlichen Vorschriften, der Datenbankenrichtlinie und der Verordnung zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten

 

Neben dem Data Act soll zukünftig auch der Data Governance Act mit einheitlichen Regelungen für das Teilen von Daten zwischen Unternehmen, Privatpersonen und öffentlichen Stellen zum Erreichen der Strategieziele eines digitalen europäischen Binnenmarkts beitragen. Der Data Act ist zudem als Ergänzung zum Entwurf des Digital Markets Act vorgesehen, der sich an bestimmte Anbieter zentraler Plattformdienste wendet und die effektivere Gestaltung der Übertragbarkeit von Daten bezweckt, die im Rahmen von Unternehmens- und Endnutzeraktivitäten generiert wurden. Insgesamt zielt der Data Act darauf ab, allgemeine Grundregeln für alle Branchen aufzustellen, die bislang hinsichtlich der Nutzungsrechte an Daten noch nicht reguliert sind, insbesondere im Bereich des Internet of Things. Im Übrigen steht der Data Act sektorspezifischen Regelungen nicht entgegen.

Wie geht es weiter?

Nach der heutigen Vorstellung des Entwurfs durch die Kommission wird der Data Act das europäische Gesetzgebungsverfahren unter Beteiligung des Europäischen Parlaments und des Rats durchlaufen. Damit der Data Act in Kraft treten kann, müssen ihm sowohl das europäische Parlament als auch der Rat der Union zustimmen. Ist dies geschehen, bedarf die Verordnung jedoch keiner Umsetzung ins nationale Recht mehr, sondern gilt in jedem Mitgliedstaat unmittelbar. Dies wird voraussichtlich jedoch nicht vor 2023 der Fall sein.

Fazit: Mehr Fairness, mehr Aufwand

Der Data Act enthält verschiedene Ansätze, Fairness zu fördern, etwa indem Kleinst- und Kleinunternehmen nicht zusätzlich verpflichtet und Internetkonzerne bei der Verteilung der Datenzugangsrechte außen vor bleiben sollen. Wie wichtig eine ausreichende und zugängliche Datengrundlage auch für den öffentlichen Sektor ist, hat zudem erst unlängst die Pandemie mit zunächst wenigen verfügbaren und belastbaren Daten gezeigt. Nichtsdestotrotz mag man sich zurecht fragen, ob das anvisierte Level an Fairness bei der Datenverwaltung überhaupt hergestellt werden kann – und wenn ja, ob der Data Act der Schlüssel zu diesem Ziel ist. 

 

Neu an dem Entwurf ist, dass Internetgiganten nicht mehr exklusiv als Gatekeeper allein über die Nutzbarmachung von Daten entscheiden, sondern andere Akteure an diesen Daten jedenfalls in Teilen teilhaben lassen müssen, ohne ihrerseits an weitere Daten zu gelangen. Voraussetzung ist jedoch, dass die Sicherheitsmechanismen gegen den Zugriff der Gatekeeper auf die Daten über Dritte sich als wirksam erweisen. 

 

Neu ist weiterhin, dass die Verordnung den Fokus auf Industriedaten richtet, also Daten, die nicht von Menschen, sondern von Maschinen erzeugt werden und bislang zumeist nicht verfügbar sind. Einerseits fördert dies den freien Markt, indem Unternehmen neue Geschäftsfelder eröffnet werden. Andererseits entsteht hierdurch ein Mehraufwand für die Verpflichteten, etwa um Daten so aufzubereiten, dass sie weitergegeben werden können. Überdies greift der Ansatz in ihr Geschäftsmodell ein, weil sie die Daten nicht mehr exklusiv nutzen können. Dieser Aufwand soll hierbei nicht die kleinsten Akteure innerhalb der Wirtschaft treffen, sondern die, von denen der europäische Gesetzgeber erwartet, dass sie die notwendigen Ressourcen aufbringen können. 

 

Wer Daten herausgeben muss, soll keinen unmittelbaren Schaden haben. Daher dürfen die Daten auch nicht zur Herstellung von Konkurrenzprodukten genutzt werden. Hier zeigt sich allerdings auch die Achillesverse des Entwurfes: Eine trennscharfe Abgrenzung zwischen erlaubter und unerlaubter Nutzung wird sich in vielen Fällen schwierig gestalten. Letztlich dürften Überschneidungen der Verordnung mit anderen europäischen und sektorspezifischen nationalen Gesetzen sowie neue unbestimmte Rechtsbegriffe und Abgrenzungsfragen in dem Entwurf die Unsicherheit im Hinblick auf das europäische Datenschutzrecht noch verstärken. So kommt bereits Kritik aus der Automobilindustrie an dem Verordnungsentwurf: Durch den Data Act würden vielversprechende neue Initiativen, wie das europäische Cloud-Vorhaben „GAIA-X“ zum Aufbau europäischer Datenökosysteme unterlaufen, das einen dezentralen Ansatz unter Wahrung der Datensouveränität der an dem Projekt Beteiligten wählt.