9. September 2022Datenschutz

Der Data Act: Die wichtigsten Ziele und Regelungen

Daten dienen spätestens seit dem Anbruch des Digitalisierungszeitalters als Grundlage und zentraler Bestandteil für die Sicherung des digitalen und ökologischen Wandels. Sie nehmen in unserer zunehmend vernetzten Welt einen sehr hohen Stellenwert ein. Doch trotz der Unmengen an Daten, die täglich generiert werden, wird nur ein Bruchteil des Potentials ausgeschöpft. Bei der Generierung der Daten sind die konkreten Rechte an den Daten oft unklar und es fehlt häufig an einer gerechten Verteilung der Kapazitäten zum Aufbau wichtiger digitaler Fortschritte. Dem soll nun mit einem Vorschlag des Data Act (COM 2022, 68 final) der Europäischen Kommission entgegengewirkt werden. Am 23.2.2022 hat die Kommission den Entwurf dem Europäischen Parlament und dem Europäischen Rat vorgelegt, wo dieser derzeit behandelt wird. Doch was regelt der Vorschlag der Kommission zum Data Act, wer soll von ihm profitieren und was bedeutet er für den Datenschutz und die Unternehmenspraxis? Dies klären wir im folgenden Beitrag für Sie.

Ziel und Zweck des Data Acts

Der Vorschlag zum Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Der Vorschlag der Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher am 23. Juni 2022 in Kraft getreten ist und nach einer Nachfrist von 15 Monaten ab September 2023 gilt. Dieser umfasst Regelungen zur Datenverwaltung – er dient also der Schaffung von Prozessen und Strukturen, um die Generierung von Daten und deren Verkehr zu ermöglichen, unter anderem durch Einführung des Konzepts von Datenvermittlungsdiensten.

Der Gesetzesentwurf des Data Act sieht Regelungen vor, die klären sollen, wer unter welchen Bedingungen einen Mehrwert aus Daten schaffen kann, wobei Fairness zentraler Faktor ist. Konkret soll es darum gehen, dass unter anderem Nutzende von vernetzten Geräten, Maschinen oder sonstigen Produkten, wie in den Bereichen Internet of Things (IoT), Industrial Internet of Things (IIoT) oder Conneted Cars, darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben. Damit umfasst der Data Act unter anderem Regeln für die Nutzung von Daten, die solche vernetzten Geräte, Maschinen oder Produkte generieren. Nutzende können dabei Unternehmen als auch Verbraucher sein. Der Data Act soll es den Nutzenden ermöglichen, diese Daten auszuwerten und unter bestimmten Bedingungen an Dritte weiterzugeben. Unter Daten werden darunter sowohl personenbezogene als auch nicht personenbezogene Daten verstanden, womit der Anwendungsbereich des Data Act über den der DSGVO klar hinausgeht. Der Zugang zu Daten und deren Nutzung soll zwischen Unternehmen sowie zwischen Unternehmen und Behörden erleichtert werden.

Angestrebt ist zudem ein ausgewogenes Verhältnis zwischen dem Recht auf Zugang zu Daten und Anreizen für Investitionen in Daten. Die Regelung des Zugangs und der Nutzung industrieller Daten, also gerade auch nicht personenbezogener Daten, durch Verbraucher und Unternehmen ist also insofern Kernelement des Entwurfes (sog. „Accessability by Design“). Ebenso soll durch den Entwurf und die entsprechenden Regelungen die Eröffnung eines Wettbewerbsmarktes für Daten geschaffen werden.

Ziel des Data Act ist es also, Fairness in Bezug auf Daten zu schaffen, Rechte der Nutzenden transparent zu machen, ihnen die Ausübung der Rechte zu erleichtern sowie eine Kohärenz zwischen Zugriffsrechten zu gewährleisten – und das sowohl für die Privatwirtschaft als auch den öffentlichen Sektor.

Das könnte Sie auch interessieren:

Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich des Data Act betrifft Regelungen über die Bereitstellung von Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden. In Art. 2 Data Act-E findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Der Data Act stellt dabei auch Reglungen für Daten, die insbesondere keine personenbezogenen Daten sind. Daten sind gem. Art. 2 Data Act-E „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“.

Während IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über unter anderem die Umgebung erlangen, erzeugen oder sammeln können, unter die Verordnung fallen sollen, sind beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner von ihr ausgeschlossen. Gravierender Unterschied und Grund dafür ist, dass für letztere ein menschlicher Beitrag zur Generierung von Daten notwendig ist, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist. Hinsichtlich virtueller Assistenten, die häufig in Smart-Home-Umgebungen mit IoT eng zusammenspielen, aber nicht in direkter Verknüpfung mit einem Produkt stehen, fordert die Verordnung ihre Geltung ein. Hier müssen Unternehmen dann aber genau differenzieren, für welche Daten der Data Act Anwendung finden kann. Dies soll nur für diejenigen Daten gelten, die aus der Interaktion zwischen dem Nutzenden und dem Produkt über den virtuellen Assistenten stammen. Vom virtuellen Assistenten erstellte Daten, die nicht mit der Verwendung eines Produktes zusammenhängen, sind nicht Gegenstand des Data Act. Für Unternehmen ist es daher entscheidend, welche Produkte sie herstellen, anbieten oder gar selbst nutzen, um von den einzelnen Rechten des Data Act profitieren zu können.

Adressaten des Data Act

In Art. 1 Abs. 2 Data Act-E wird festgelegt, für wen die Verordnung gelten soll. Das sind:

  • Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden,
  • Nutzende solcher Produkte oder Dienste,
  • Dateninhaber, die Datenempfängern in der Union Daten bereitstellen,
  • unter bestimmten Voraussetzungen öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der Union, sowie
  • Anbieter von Datenverarbeitungsdiensten, die Kunden in der Union solche Dienste anbieten.

Unter Nutzenden eines Produktes fallen juristische wie auch natürliche Personen, also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Von einer Nutzung soll nach Maßgabe der Verordnung dann ausgegangen werden, wenn die Risiken und Vorteile der Verwendung des vernetzten Produktes den Nutzenden betreffen.

Für Kleinst- oder Kleinunternehmen (KMU) ist eine Privilegierung in Art. 7 Abs. 1 Data Act-E vorgesehen, wonach die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen sollen.

Die wichtigsten Regelungen des Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act-E wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. Dieses Kapitel enthält vor allem Rechte, die Nutzenden eines Produktes oder verbundenen Dienstes zukommen und von ihnen geltend gemacht werden können.

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act-E geregelte Pflicht der Zugänglichmachung von bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act-E nimmt den Gedanken des Access by Design auf. Mit dieser Vorschrift soll insofern dem Ziel der Datenwirtschaft Rechnung getragen werden, weil die Zugänglichmachung von Daten als Grundpfeiler für den freien Verkehr von Daten dient.

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act-E, findet sich eine weitere wichtige Regelung für Verbraucher: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für z.B. ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll ebenfalls zum Fairnessfaktor beitragen, bürdet den anbietenden Unternehmen jedoch auch weitere Pflichten auf.

Eine weitere wesentliche Norm stellt Art. 4 Data Act-E dar, der das Recht der Nutzer auf Zugang zu den bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten sowie das Recht auf deren Nutzung regelt. Dieses Recht zielt darauf ab, dem Nutzenden transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. In Art. 4 Abs. 6 Data Act-E wird außerdem geregelt, dass nicht personenbezogen Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden, nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeitet bzw. genutzt werden dürfen.

Auch Art. 5 Data Act-E nimmt den Verkehr der Daten nochmals in den Blick und regelt die Herausgabe der Daten an Dritte, der auf Verlangen eines Nutzenden gefolgt werden muss.

In Kapitel IV, welche Regelungen zu missbräuchlichen Klauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen bereithält, ist insbesondere auf Art. 13 Data Act-E hinzuweisen. Dieser regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Kleinstunternehmen oder einem kleinen oder mittleren Unternehmen (KMU) einseitig auferlegt werden. Es handelt sich insoweit um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen für das regelmäßig strukturell unterlegene KMU nicht bindend sein und die Fairness in der Datenwirtschaft und auf dem Markt vorantreiben. In Art. 13 Abs. 2-4 Data Act-E findet sich eine Definition zur Missbräuchlichkeit und AGB-ähnliche Regelbeispiele, wann eine Vertragsklausel als missbräuchlich zu verstehen ist bzw. sein kann. Zur Erleichterung der Umsetzung der Vorschriften aus dem Data Act soll die Europäische Kommission Mustervertragsbedingungen erarbeiten, wie Art. 34 Data Act-E vorsieht.

Eine weitere bedeutende Regelung, um die Ziele des Data Act erreichen zu können, sind die Vorschriften zur Interoperabilität (Kapitel VIII), welche als verbindliche regulatorische Vorgaben zur Festlegung europäischer Standards fungieren. Der Entwurf des Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden, wobei der Zugang zu wettbewerbsfähigen und interoperablen Datenverarbeitungsdiensten ein zentrales Anliegen für eine florierende Datenwirtschaft ist.

In diesem Zusammenhang sind auch die Vorschriften zur Erleichterung des Wechsels zwischen Anbietern von Cloud-Diensten zu sehen. Es sollen nach dem Kapitel VI des Data Act-E, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, unter anderem keine Hindernisse beim Anbieterwechsel bestehen. Weiterhin sind beispielsweise auch Höchstgrenzen bei Kündigungsfristen (vgl. Art. 23 Abs. 1 lit. a Data Act-E) vorgesehen.

Der Entwurf des Data Act sieht außerdem Regelungen vor, die den Zugang zu Daten, die im Besitz des Privatsektors sind, durch Behörden zu gewissen Zwecken ermöglichen.

Als Sanktionsmittel, die bei Verstößen gegen den Data Act zum Einsatz kommen können, verweist der Entwurf zum Data Act zum Teil (vgl. zum Beispiel Art. 33 Abs. 3 Data Act-E) auf die Regelungen der DSGVO zu den allgemeinen Bedingungen für die Verhängung von Geldbußen sowie auf die dort genannten Beträge für Geldbußen.

Verhältnis zur DSGVO

Das Verhältnis zur DSGVO nimmt der Data Act in Art. 1 Abs. 3 Data Act-E in den Blick. Hier muss zunächst festgehalten werden, dass die DSGVO die Regulierung personenbezogener Daten vornimmt, wohingegen der Data Act gerade auch nicht personenbezogene Daten mit einbezieht. Zudem liegt der Fokus der DSGVO unter anderem darin, mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu schaffen. Auch wenn der Data Act vertragliche Regelungen als Datenverarbeitungsgrundlagen berücksichtigt, ist das Anliegen dieses Entwurfes in erster Linie den Verkehr und die Zugänglichmachung nicht personenbezogener Daten zu ermöglichen und nicht Rechtsgrundlagen für deren Verarbeitung zu erschaffen. Bei der Nutzung eines Produkts oder verbundenen Dienstes können allerdings auch Daten erzeugt werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (und damit personenbezogene Daten darstellen). Die Verarbeitung solcher Daten unterliegt weiterhin den Vorschriften der DSGVO, auch wenn personenbezogene und nicht personenbezogene Daten häufig in einem Datensatz untrennbar miteinander verbunden sind. Daraus dürften sich auch eine Menge offener Abgrenzungsfragen zum Anwendungsbereich der jeweiligen Vorschriften ergeben.

Für Unternehmen, die unter den Anwendungsbereich des Data Act fallen, ist von großer Bedeutung, wann eine spezielle Rechtsgrundlage notwendig wird, etwa um das Recht auf Zugang zu gewähren. Fordert ein Nutzender, der zugleich die betroffene Person ist, sein Zugangsrecht ein, so steht ihm dieses ohne weiteres zu. Anders ist dies hingegen, wenn ein Unternehmen die auch personenbezogenen Daten einem Dritten, zum Beispiel einem anderen Unternehmen, zugänglich machen will. Hier muss unbedingt zusätzlich das Erfordernis einer Rechtsgrundlage nach Art. 6 DSGVO beachtet werden. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden, was ebenfalls zu komplexen rechtlichen Einordnungsfragen führen dürfte.

Aus Art. 1 Abs. 3 Data Act-E lässt sich zumindest in Bezug auf das Recht der Datenübertragbarkeit nach Art. 20 DSGVO erkennen, dass dieses Recht durch den Data Act erweitert wird. Gemäß der DSGVO gilt das Recht auf Datenportabilität nur für personenbezogene Daten, die auf der Grundlage bestimmter Rechtsgrundlagen mithilfe von automatisierten Verfahren verarbeitet werden. Mit dem Data Act wird dieses Recht auf vernetzte Produkte ausgeweitet, damit Verbraucher Zugriff auf alle von ihrem Produkt erzeugten sowohl personenbezogenen als auch nichtpersonenbezogenen Daten haben und diese weitergeben können. Generell spricht die Kommission davon, dass der Vorschlag zwar im Einklang mit der DSGVO stehen soll, die bestehenden Rechte jedoch ergänzt.

Fazit und Handlungsempfehlungen

Der Data Act hat das grundsätzliche Potential wichtige Ziele im EU-Binnenmarkt zu erreichen, und eine breitere Verwendung von erhobenen Daten zu ermöglichen. Der bisherige Entwurf bildet hierfür eine erste Grundlage. In der Praxis könnten sich jedoch einige gewichtige Herausforderungen bei der Anwendung des Data Act ergeben, etwa die Schwierigkeit von Unternehmen zu beurteilen, ob ihre Produkte vom Anwendungsbereich des Data Act umfasst sind oder aber wie das komplexe Zusammenspiel mit den Vorgaben der DSGVO beachtet werden kann. Deshalb empfiehlt es sich, dass Unternehmen frühzeitig die Vorgaben des Data Acts beachten und die vorgesehenen Regelungen evaluieren.

Der Entwurf wurde im Februar 2022 durch die Europäische Kommission vorgelegt. Das Konsultationsverfahren vor dem Europäischen Wirtschafts- und Sozialausschuss wurde bis Mai 2022 durchgeführt. Derzeit liegt die Verordnung dem Europäischen Parlament und dem Rat vor, wobei der Zeithorizont bis zu einer Entscheidung noch offen ist. Die aktuelle tschechische Ratspräsidentschaft hat im Juli 2022 einen ersten Kompromissvorschlag vorgelegt, der die Grundlage für die Diskussionen im Rat liefern soll. Dabei wurde unter anderem eine Angleichung an die auf der DSGVO basierenden Definitionen, umfassendere Ausnahmeregellungen für mittlere Unternehmen, eine striktere Trennung zwischen den Bestimmungen zur Regelung der Beziehungen zwischen Unternehmen und Kunden sowie zusätzliche Schutzmaßnahmen für Geschäftsgeheimnisse und ein Verbot von „dark patterns“ vorgeschlagen. Ob der Data Act in seiner aktuell vorliegenden Fassung so Geltung erlangen wird, bleibt daher vorerst mit Spannung abzuwarten.

Sie benötigen juristische Beratung zum Data Act?

Jetzt unverbindlich anfragen
nach oben
Mehr zum Thema
Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.