Judith Klink-Straub; Tobias Straub

Data Act als Rahmen für gemeinsame Datennutzung


ZD-Aktuell 2022, 01076     Angesichts der unbestrittenen Bedeutung von Daten als Wirtschaftsgut und Innovationstreiber hat die EU-Kommission bereits 2020 ihre Datenstrategie formuliert und das Ziel der Schaffung eines echten Binnenmarkts für Daten (Data Space) ausgegeben, um die europäische Datenwirtschaft zu stärken. Die Realität der datengetriebenen Wirtschaft ist geprägt von einer Konzentration auf wenige, zumeist US-amerikanische Großunternehmen und der starken Marktposition von Herstellern vernetzter Geräte, die den Datenzugriff weitgehend kontrollieren. Der einheitliche europäische Datenraum soll die sichere Nutzbarmachung von Daten, insbesondere auch personenbezogener Art oder von sensiblen Geschäftsdaten, ermöglichen und den Zugang zu industriellen Daten, die etwa von Anwendungen des Internet of Things stammen, erleichtern. In diesem Datenraum soll EU-Recht wirksam durchgesetzt werden und sich europäische Standards entwickeln.

Als wichtigen Baustein der Datenstrategie hat die Kommission am 23.2.2022 nun ihren Entwurf eines Datengesetzes (Regulation on harmonised rules on fair access to and use of data) vorgestellt. Die Regelungen umfassen die Erleichterung des Wechsels zwischen Cloud-Anbietern (Kapitel VI), Garantien für den Schutz nicht-personenbezogener Daten gegen rechtswidrige Transfers in oder staatliche Zugriffe aus Drittstaaten (Kapitel VII) sowie Vorgaben zur Interoperabilität (Kapitel VIII). An der Schnittstelle zur DS-GVO von größter Bedeutung – und damit hier zu betrachten – sind jedoch Regelungen, die Nutzern eines Geräts weitgehende Rechte einräumen, über die mit ihrer Nutzung einhergehenden Daten zu verfügen (Data Sharing). In diesem Zusammenhang wichtig ist außerdem, dass öffentliche Stellen erstmals einen Anspruch gegenüber Dateninhabern bei Notlagen erhalten.

 

1. Regelungen zum B2B- und B2C-Data-Sharing

Nach Art. 4 des Entwurfs sollen Nutzer (user) eines vernetzten Produkts oder eines damit verbundenen digitalen Dienstes Zugriff auf all diejenigen Daten erhalten, welche bei der Nutzung erzeugt, gesammelt oder empfangen werden. Neben Daten, die vom Nutzer absichtlich oder wenigstens, wie Diagnosedaten, als Nebenprodukt seiner Aktionen aufgezeichnet werden, sind auch im Standby- oder deaktivierten Zustand des Produkts anfallende Daten umfasst (Erwägungsgrund 17). Abgeleitete Daten, also solche, die aus den aufgezeichneten erst berechnet werden, gehören jedoch nicht dazu.

Anwendungsbeispiele sind etwa mit dem Internet verbundene Fabrikroboter, vernetzte Fahrzeuge sowie auch Sprachassistenzsysteme, die zur Steuerung vernetzter Produkte eingesetzt werden. Nicht in den Anwendungsbereich der Verordnung sollen Produkte fallen, deren Hauptzweck darin besteht, Inhalte anzuzeigen, aufzuzeichnen oder zu übertragen, Erwägungsgrund 15 nennt zB PCs oder Kameras. Sofern dem Nutzer selbst nicht schon ein direkter Zugang zu den Daten möglich ist, besteht ein Anspruch gegen den Dateninhaber (data holder), welcher typischerweise der Hersteller oder ein mit ihm verbundener Dienstleister, etwa ein Cloud-Anbieter, ist. Diesem Anspruch muss unverzüglich und unentgeltlich nachgekommen werden, und es müssen Daten ggf. sogar kontinuierlich und in Echtzeit bereitgestellt werden.

Nach Art. 2 Abs. 5 des Entwurfs ist Nutzer eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung erhält. Dem Wortlaut nach wäre daher etwa der Eigentümer und Halter eines vernetzten Fahrzeugs Nutzer, nicht aber der vom Halter personenverschiedene Fahrer, solange sich dieser das Fahrzeug nur ausgeliehen hat. Handelt es sich um personenbezogene Daten und ist der Nutzer nicht selbst die betroffene Person iSd DS-GVO, so benötigt der Dateninhaber nach Art. 4 Nr. 5 des Entwurfs eine entsprechende Rechtsgrundlage nach der DS-GVO, damit er die Daten dem Nutzer zur Verfügung stellen kann. Geht es zB um Daten über das Fahrverhalten des Fahrers eines vernetzten Fahrzeugs, so darf der Hersteller diese dem personenverschiedenen Eigentümer nur zur Verfügung stellen, wenn der Fahrer hierin eingewilligt hat oder der Eigentümer ein berechtigtes Interesse am Datenzugang nachweisen kann.

Nach Art. 5 des Entwurfs kann der Nutzer auch verlangen, dass der Dateninhaber die Daten einem Dritten zur Verfügung stellt. Um im Beispiel zu bleiben, kann der Eigentümer eines vernetzten Fahrzeugs vom Hersteller also auch verlangen, dass dieser die Daten einer vom Eigentümer bestimmten Werkstatt zukommen lässt. Der Dateninhaber muss diesem Anspruch in derselben Weise wie bei einer Bereitstellung an den Nutzer nachkommen, kann aber mit dem Dritten eine angemessene Vergütung vereinbaren.

Die weitere Verarbeitung der Daten durch den Empfänger darf nur gemäß der vom Nutzer bestimmten Zwecke und Bedingungen und – soweit es sich um personenbezogene Daten handelt – unter Wahrung der Rechte der betroffenen Personen geschehen. Daten sind zu löschen, wenn sie für den vereinbarten Zweck nicht mehr erforderlich sind. Dritte dürfen, ebenso wenig wie die Nutzer selbst, die erhaltenen Daten dazu verwenden, ein konkurrierendes Produkt zu entwickeln. Der Verordnungsentwurf betont den Schutz von Geschäftsgeheimnissen und verweist auf die Möglichkeit des Dateninhabers, entsprechende Geheimhaltungsvereinbarungen zu schließen.

Art. 3 Abs. 1 des Entwurfs verpflichtet dazu, Produkte bereits so zu konzipieren und herzustellen, dass die Daten iSe „data access by design“ standardmäßig leicht und auf sichere Weise zugänglich sind. Außerdem werden dem Dateninhaber in Art. 3 Abs. 2 des Entwurfs vorvertragliche Informationspflichten auferlegt, die u.a. die Art der Daten und die Möglichkeit des Zugriffs durch den Nutzer umfassen.

 

2. Verhältnis zur DS-GVO

Das Verhältnis zur DS-GVO ist in Art. 1 Nr. 3 des Entwurfs geregelt. Danach ergänzen die Bestimmungen des Data Act die DS-GVO. Sollte der Nutzer eine natürliche Person sein, kann sich dieser sowohl auf das Recht der Datenportabilität nach Art. 20 DS-GVO berufen, als auch die Ansprüche aus dem Data Act verfolgen. Die wesentlichen Unterschiede nach Art. 4 bzw. Art. 5 Data Act bestehen darin, dass der Nutzer einen Anspruch darauf hat, dass Daten kontinuierlich und in Echtzeit ihm bzw. Dritten zur Verfügung gestellt werden (anstatt nur einmalig auf einen Antrag hin) und dass die Voraussetzungen entfallen, dass er die Daten zuvor selbst bereitgestellt hat und die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht. Haben die Daten keinen Personenbezug, ist die DS-GVO nicht anwendbar und es bestehen ausschließlich die genannten Rechte nach dem Entwurf. Insbesondere für den Nutzer, der eine juristische Person ist, stellt dies einen erheblichen Mehrwert dar.

 

3. Recht auf Datenzugang und -nutzung durch öffentliche Stellen

Nach Art. 14 des Entwurfs haben öffentliche Stellen der Mitgliedstaaten und der EU, wenn sie einen außergewöhnlichen Bedarf nachweisen, ebenfalls ein Recht auf Bereitstellung von Daten. Kommen die Dateninhaber dem Anspruch nicht nach, so müssen sie entsprechend Art. 33 des Entwurfs mit Sanktionen rechnen. Ein außergewöhnlicher Bedarf besteht nach Art. 15 dann, wenn die Daten erforderlich sind, um auf einen öffentlichen Notfall zu reagieren oder wenn die öffentliche Stelle die Daten benötigt, um eine ihr gesetzlich zugewiesene Aufgabe wahrzunehmen und es ihr unmöglich ist, die Daten anderweitig, etwa am Markt zu marktüblichen Preisen, zu beschaffen.

Unter den formalen Anforderungen, die öffentliche Stellen gem. Art. 17 des Entwurfs zu beachten haben, ist insbesondere die Regelung in Absatz 2 lit. d hervorzuheben, dass sich das Ersuchen möglichst auf nicht-personenbezogene Daten beschränken soll. Art. 16 und 19 des Entwurfs enthalten klare Vorgaben zur Zweckbindung. So ist einerseits explizit ausgeschlossen, dass, gestützt auf Art. 14 des Entwurfs, Daten etwa für die Verfolgung von Straftaten und Ordnungswidrigkeiten angefordert werden. Andererseits dürfen Daten nur für die Zwecke, für die sie angefordert wurden, verwendet werden und sind nach Wegfall der Erforderlichkeit zu löschen.

 

4. Sonderregelungen abhängig von der Unternehmensgröße

In der Verordnung sind gewisse Ausnahmen für KMU sowie sog. Gatekeeper vorgesehen. Kleinstunternehmen und kleinere Unternehmen (gemäß der Definitionen in der EU-Empfehlung 2003/361/EC) sind als Dateninhaber von der Pflicht befreit, Nutzern und öffentlichen Stellen Daten bereitzustellen. Als Empfänger müssen sie, ebenso wie mittlere Unternehmen, dem Dateninhaber nur die unmittelbar mit der Bereitstellung entstehenden Kosten erstatten. Ferner unterliegen ihre Verträge gem. Art. 13 des Entwurfs einer Klauselkontrolle ähnlich den §§ 305 ff. BGB, um sie in ihrer typischerweise schwächeren Verhandlungsposition zu unterstützen.

Dagegen sind Plattformanbieter mit dominierender Marktmacht, die gemäß des (vorgeschlagenen) Digital Markets Act (DMA) als Gatekeeper anzusehen sind, bewusst der Möglichkeit beraubt, unter der Verordnung Daten von Nutzern oder Dritten zu empfangen oder auch nur dazu aufzufordern oder kommerzielle Anreize hierfür zu schaffen. Auf diese Weise soll der zurecht als Wettbewerbshindernis identifizierten Konzentration von Daten in den Händen weniger Unternehmen – zu denken ist etwa an Google oder Facebook – entgegengewirkt werden.

 

5. Bewertung

Das neue Recht des Data Sharing zielt darauf ab, geschäftlichen und privaten Nutzern gleichermaßen umfangreiche Verfügungsmacht über diejenigen Daten zu verschaffen, die sie heute durch Verwendung von Produkten massenhaft erzeugen. Abgrenzungsprobleme hinsichtlich der Frage des Personenbezugs, wie sie im Zusammenhang mit dem bestehenden Recht auf Datenportabilität entstehen können, sind dabei nicht mehr zu befürchten.

Auch wenn Geschäftsgeheimnisse geschützt bleiben und die Datennutzung zur Entwicklung von Konkurrenzprodukten untersagt ist, dürften Hersteller ihre künftigen Produktdesigns und Geschäftsmodelle überdenken müssen. Ein erleichterter, standardisierter Datenzugang ist sicherlich eine notwendige Voraussetzung für die Ermöglichung offener Ökosysteme für datengetriebene Services und das Wachstum einer europäischen Datenwirtschaft insgesamt. Allerdings umfasst das Data Sharing einen rein lesenden Zugriff, sodass die Möglichkeit, ein Produkt von außen auch zu steuern, in der Praxis weiterhin die Zustimmung des Herstellers erfordern dürfte.

Das Recht öffentlicher Stellen auf Zugriff von Unternehmensdaten ist spiegelbildlich zum Recht des Informationszugangs privater Stellen gemäß der Open Data Directive und des Data Governance Act zu sehen und in angemessener Weise auf Ausnahmefälle beschränkt.

 

Prof. Dr. Judith Klink-Straub ist Professorin an der Hochschule für öffentliche Verwaltung und Finanzen in Ludwigsburg.

Prof. Dr. Tobias Straub ist Professor an der Dualen Hochschule Baden-Württemberg in Stuttgart.