Dr. Kristina Schreiber ist Rechtsanwältin und Partnerin bei Loschelder Rechtsanwälte in Köln.
MMR 2023, 541 Der Data Act steht vor der Tür. Dieses EU-Datengesetz will die faire Datennutzung und den fairen Datenzugang sicherstellen. Formal ist der Data Act eine EU-Verordnung nach Art. 288 Abs. 2 AEUV und gilt daher in jedem EU-Mitgliedstaat unmittelbar. Ende Juni 2023 konnten Rat, Parlament (EP) und Kommission in Brüssel iRd sog. Trilog-Verhandlungen eine Einigung über den Text erzielen, der jetzt ausgefertigt und dann wohl nach der Sommerpause noch formal von Rat und EP verabschiedet werden muss. Gelten werden die Vorgaben des Data Act 12 Monate und 20 Tage nach der Veröffentlichung im Amtsblatt der EU. Dies wird aller Voraussicht nach im Herbst 2024 der Fall sein (Verfahren 2022/0047 (COD)). Das Editorial stützt sich also noch nicht auf den - noch unbekannten - finalen Text. Grundlage ist der Kommissionsentwurf vom Frühjahr 2022 (COM(2022) 68 final) unter Berücksichtigung der Änderungsvorschläge von EP und Rat aus dem März 2023.
Für Unternehmen wird der Data Act viel ändern, sowohl für Anbieter als auch für Nutzer digitaler Produkte. Betroffen sind (beinahe) alle Unternehmen. Die Digitalisierung hat auch in den Branchen Einzug gehalten, die nicht originär als digitalaffin angesehen werden: Die Landwirtschaft optimiert Bestellung und Ernte vernetzt, im produzierenden Gewerbe werden Produktionsstraßen digital optimiert und klassisch reale Güter mit digitalen Komponenten ergänzt, vom den Durchfluss messenden Rohren bis hin zu robotergesteuerten Anlagen. Die tägliche Arbeit ist ohne Verwendung von Cloud-Speicher und diversen Apps ohnehin kaum noch denkbar.
Auf all diese Prozesse wird sich der Data Act mit seinen 42 Artikeln auswirken. Er will die Datenwirtschaft in der EU beflügeln.
Bausteine des Data Act
Der Data Act will sein Ziel im Wesentlichen durch vier gewichtige Bausteine erreichen:
- Datenzugang,
- Klauselkontrolle für Regelungen in Verträgen zwischen Unternehmen, die die Datennutzung oder den Datenzugang betreffen,
- Pflicht zur Bereitstellung von Daten für öffentliche Stellen
- sog. Cloud-Switching, dh Wechsel zwischen Datenverarbeitungsdiensten.
Hinzu kommen einige ergänzende Regelungen, so etwa zum Schutz auch nicht-personenbezogener Daten bei internationalen Transfers und weitreichende Interoperabilitätsanforderungen.
Datenzugang
Der erste Baustein, der Datenzugang, ist neben dem Cloud-Switching wohl der Regelungsbereich mit den weitreichendsten Auswirkungen in der Praxis. Konkret geht es hierum die „Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen“ (Kap. II) und die Bedingungen einer verpflichtenden Datenbereitstellung (Kap. III). Produkte sollen, so der Ursprungsvorschlag der Kommission, so konzipiert und hergestellt und verbundene Dienste so erbracht werden, dass die bei der Nutzung erzeugten Daten für den Nutzer direkt zugänglich sind oder jedenfalls unverzüglich und kostenlos, möglichst in Echtzeit, zur Verfügung gestellt werden. EP und Rat haben daran diverse Änderungsvorschläge im Detail eingebracht. Sicher bleibt aber: Der Datennutzer soll frei sein, ob er diesen Zugang selbst nutzt oder aber die Bereitstellung dieser Daten an einen Dritten ermöglicht. Letzteres - die Transferoption - kann die Innovationskraft fördern und einen neuen Markt erschließen, denn so erhalten zB auch neue Anbieter notwendige Informationen, um digitale Produkte zu ergänzen, Folgeanwendungen bereitzustellen oder Supportleistungen anzubieten. Was damit positiv für neue Anbieter ist, birgt zugleich aber erhebliche Risiken für die Dateninhaber, auch für kleinere und künftig neue Anbieter, die sich hier. weit öffnen müssen. Der Schutz ihrer Geschäftsgeheimnisse ist dabei nur rudimentär gesichert: Sie müssen offengelegt werden, wenn „alle besonderen Maßnahmen getroffen sind, die erforderlich sind, um die Vertraulichkeit ... zu wahren“ (Art. 4 Abs. 3 Kommissionsentwurf). Die konkrete Ausgestaltung dieser Kapitel zum Datenzugang war einer der wohl umstrittensten Bereiche im Trilog. Der Schutz der Geschäftsgeheimnisse sollte dabei auch, gerade nach den EP-Vorschlägen, verbessert werden, allerdings nur in überschaubarem Umfang.
Klauselkontrolle
In Kap. IV schließen sich Regelungen zur Vorkehrung vor missbräuchlichen Klauseln „in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen“ an. Geplant ist eine Art AGB-Kontrolle, wenn Unternehmen anderen Unternehmen Vertragsklauseln zu Datenzugang oder Datennutzung „einseitig auferlegen“, also außerhalb von Individualverträgen. Solche Klauseln dürfen nicht missbräuchlich sein, also etwa keinen zu weitgehenden Haftungsausschluss enthalten und auch nicht der liefernden Partei das Bestimmungsrecht überlassen, wann Daten vertragsgemäß sind. Die Kommission wollte diesen Schutz nur zu gunsten kleiner und mittlerer unternehmen vorsehen. ep und rat haben dagegen eine ausweitung auf alle unternehmensgrößen gefordert.
Datenbereitstellung für Behörden
Kap. V regelt sodann die Bereitstellung von Daten für öffentliche Stellen „wegen außergewöhnlicher Notwendigkeit“. Dateninhaber, oftmals also die Hersteller von digitalen Produkten, müssen danach öffentlichen Stellen etwa in Fällen eines öffentlichen Notstands oder bei einem besonderen öffentlichen Interesse Daten bereitstellen. Die sich aus den Mobilfunkdaten ergebenden Bewegungsdaten in der Corona-Pandemie wären ein Beispiel für einen denkbaren Anwendungsfall. Erstaunlich in diesem Kontext ist die Forderung des EP, die Bereitstellung auf nicht-personenbezogene Daten zu begrenzen: Dies würde den Anwendungsbereich doch erheblich schmälern und im schlimmsten Fall das Anonymisierungsrisiko auf den Dateninhaber verlagern. Der Rat wollte den Anwendungsbereich dagegen sogar noch ausweiten, auf relevante Metadaten.
Cloud-Switching
Der vierte Baustein hat ähnliche Sprengkraft für die Digitalwirtschaft wie die Kapitel zum Datenzugang. Kap. I adressiert den „Wechsel zwischen Datenverarbeitungsdiensten“. Dieses sog. Cloud-Switching sieht eine einfachere Migrationsmöglichkeit vor. Anbieter werden verpflichtet, den Wechsel zwischen verschiedenen Diensten technisch einfach und kostengünstig bzw. in drei Jahren nach Inkrafttreten sogar kostenfrei zu ermöglichen. Bezogen sind diese Pflichten auf alle Datenverarbeitungsdienste, also nicht nur Cloud-Produkte. Wechselvorgänge müssen technisch unterstützt werden, die jeweiligen Funktionen und Dienste müssen uneingeschränkt verfügbar bleiben (Kontinuität).
Die Vereinfachung solcher Wechselprozesse wird für große Anbieter zum Standardgeschäft werden. Begründete Befürchtungen bestehen allerdings, dass kleinere und mittlere Unternehmen, neue Anbieter und Start-ups von diesen Pflichten über Gebühr belastet werden. Das EP hat in seinen Änderungsvorschlägen aus dem März 2023 daher begrüßenswerte Konkretisierungen und Einschränkungen vorgeschlagen, so etwa, dass diese Angebote nur innerhalb der jeweiligen Kapazitäten ermöglicht werden müssen. Es besteht die begründete Hoffnung, dass sich diese im Trilog-Ergebnis wiederfinden. Das gilt umso mehr, als durchaus diskutiert werden kann, ob die Wechselerleichterungen überhaupt erforderlich sind oder nicht bei den meisten Produkten auch heute schon Lock-in-Effekte durch die jeweilige Gestaltung gering sind (und schon über die Interoperabilitätsanforderungen im Data Act noch weiter abgebaut werden müssen).
Kurze Umsetzungsfrist
Gemessen an diesen weitreichenden Umbrüchen erscheint die Umsetzungsfrist 12 Monaten und 20 Tagen ab Veröffentlichung des finalen Texts im Amtsblatt der EU ambitioniert. Jedenfalls Anbieter, die künftig Datenzugang und Wechselprozesse nach Maßgabe der neuen Vorgaben ermöglichen müssen, sind gut beraten, früh mit der Anpassung ihrer Prozesse an die neuen Anforderungen des Data Act zu beginnen.
Kann der Data Act die Datenwirtschaft beflügeln?
Alle Bausteine des Data Act liefern elementare Ansätze, um die Datenwirtschaft zu beleben und für einen fairen und transparenten Ausgleich zu nutzen. Ihre Schwäche liegt im Detail: Es fehlt an klaren Definitionen, die Begrifflichkeiten sind dem Vernehmen nach auch in den Trilog-Verhandlungen nur unzureichend konkretisiert worden. Dies verwundert nicht, da die Änderungsvorschläge von EP und Rat nur punktuell für mehr Klarheit gesorgt haben.
Hinzu kommt, dass das Verhältnis zur DS-GVO offenbleibt und für viele Rechtsunsicherheiten sorgt. In Erwägungsgrund 7 DS-GVO heißt es, durch EP und Rat insoweit ohne Änderungsvorschlag belegt, dass der Data Act die DS-GVO „ergänzt“ und diese „unberührt“ lässt. Bedeutet dies, dass der verpflichtende Datenzugang unter dem Vorbehalt der datenschutzrechtlichen Zulässigkeit steht? Können sich Dateninhaber auf die DS-GVO als Schranke berufen oder müssen sie einen Zugang schaffen, der datenschutzkonform ist? Die Liste der Fragen ließe sich schon für das Datenschutzrecht beinahe beliebig fortsetzen.
Auch in einem weiteren, gerade für die Innovationsfreudigkeit fundamental wichtigen Bereich bleiben grundlegende Unsicherheiten bestehen: Dem Geheimnisschutz. Kann dieser mit den weiten Vorgaben des Data Act noch gesichert werden? Die Auseinandersetzung zwischen Dateninhabern und -nutzern ist hier beinahe vorprogrammiert. Die erhebliche Rechtsunsicherheit birgt das Risiko, dass der Data Act eher als Innovationsbremse denn als -beschleuniger wirkt.
Sicher ist: Die anstehende kurze Umsetzungsfrist wird nicht annähernd reichen, um die bestehenden Unsicherheiten in breit anerkannte, praktische Lösungen umzusetzen. Dies wird deutlich mehr Zeit und womöglich auch noch die ein oder andere Novellierung des Data Act erfordern. Revolutionieren wird er die Datenwirtschaft damit aber sehr wohl - durch weitreichende Öffnungen und ebenso weitreichende Unsicherheiten.
Köln, im August 2023