Am 23. Februar 2022 hat die EU-Kommission den Verordnungsentwurf für harmonisierte Vorschriften für einen fairen Zugang zu Daten und deren Nutzung veröffentlicht („Data Act“; COM(2022), 68). Vorab wurde bereits eine Fassung geleakt.
Der Data Act ist ein weiterer Baustein der EU-Kommission zur Umsetzung der europäischen Datenstrategie vom Februar 2020. Als Verordnung wäre der Data Act ein unmittelbar anwendbares europäisches Gesetz, vergleichbar zur EU-Datenschutz-Grundverordnung („DSGVO“).
Zielsetzung des Data Acts
Mit dem Data Act sollen gesetzliche, wirtschaftliche und technische Hemmnisse für die Data Economy möglichst beseitigt werden. Der Zugang zu und die Weitergabe von Daten, die bei der Nutzung bestimmter Produkte und Dienstleistungen generiert werden, soll jeweils vereinfacht werden.
Der Data Act soll Produkthersteller dazu verpflichten, netzwerkfähige Produkte möglichst „daten-transparent“ zu gestalten. Nutzer eines solchen Produkts sollen einfachen Zugang zu bei der Nutzung des Produkts erhobenen oder generierten Daten haben. Der Datenbegriff ist dabei weit gefasst und nicht etwa beschränkt auf personenbezogene Daten.
Der Data Act schafft allerdings keine Rechtsgrundlage für die Datenverarbeitung durch den Data Holder („Dateninhaber“). Der Vorschlag setzt bei der tatsächlichen Kontrolle des Dateninhabers über die entsprechenden Daten an (vgl. Erwägungsgrund „EG“ Nr. 5 Data Act). Daher ist ein Dateninhaber verpflichtet, neben den Anforderungen des Data Acts insbesondere auch datenschutzrechtliche Anforderungen zu beachten. Diese können sich vornehmlich aus der DSGVO und dem deutschen Telekommunikation-Telemedien-Datenschutz-Gesetz („TTDSG“) ergeben.
Sachlicher Anwendungsbereich des Data Acts
Der sachliche Anwendungsbereich des Data Acts bezieht sich auf physische Produkte, die durch entsprechende Komponenten Daten über ihre Leistung, Verwendung oder Umgebung sammeln oder erzeugen und die solche Daten über einen öffentlich zugänglichen elektronischen Kommunikationsdienst übermitteln können. EG Nr. 14 Data Act bezeichnet dies als „Internet of Things“ („IoT“). Solche IoT-Produkte können vernetzte Fahrzeuge, Haushaltsgeräte und andere Konsumgüter ebenso sein, wie medizinische Geräte und landwirtschaftlich oder industriell genutzte Maschinen.
Entsprechende (Roh-)Daten sollten zugänglich sein, weil sie die Digitalisierung von Nutzeraktivitäten und Ereignissen darstellen. Daraus abgeleitete Daten sollen aber nicht vom Anwendungsbereich des Data Acts umfasst sein (EG Nr. 14 Data Act).
Im Gegensatz zu IoT-Produkten sollen Produkte, die in erster Linie dazu bestimmt sind, Content anzuzeigen oder abzuspielen, oder zur Aufzeichnung und Übertragung von Content dienen, nicht vom Data Act umfasst sein. Zu diesen Produkten gehören z. B. PCs, Server, Tablets und Smartphones, Kameras und Webcams (EG Nr. 15 Data Act).
Überblick über die Kerninhalte des Data Acts
Verpflichtung zur Ermöglichung eines Datenzugangs, Art. 3 Data Act
Produkte und verbundene Dienste im Anwendungsbereich des Data Acts sollen so gestaltet sein, dass bei der Nutzung generierte Daten standardmäßig einfach, sicher und – nach Möglichkeit – dem Nutzer unmittelbar zugänglich sind.
Zudem sollen vor einem Vertragsschluss bestimmte Informationen über Art und Umfang der möglicherweise generierten Daten, den Dateninhaber, den Datenzugang sowie etwaige Datenempfänger zur Verfügung gestellt werden. Ist der potentielle Vertragspartner nicht der Dateninhaber, soll der potentielle Vertragspartner auch Informationen zur Verfügung stellen, wer der tatsächliche Dateninhaber ist.
Recht auf Datenzugang und Datennutzung, Art. 4 Data Act
Ist ein unmittelbarer Datenzugang nicht möglich, soll der Dateninhaber die entsprechenden Daten auf Anfrage ohne schuldhaftes Zögern und kostenlos zur Verfügung stellen, ggf. laufend in Echtzeit.
Art. 4 Data Act enthält auch gewisse Einschränkungen für einen Datenzugang und eine Datennutzung. Wenn ein Datensatz z. B. auch personenbezogene Daten („pbD“) umfasst, dürfen solche pbD nur zur Verfügung gestellt werden, wenn dafür eine Rechtsgrundlage nach Art. 6 bzw. Art. 9 DSGVO gegeben ist. Ein Dateninhaber darf generierte Daten ferner nicht dazu verwenden, um Erkenntnisse über die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Nutzers abzuleiten, wenn dies den Nutzer beeinträchtigen könnte.
Recht auf Data Sharing mit Dritten, Art. 5 Data Act
Ein Nutzer kann von einem Dateninhaber verlangen, Daten mit bestimmten Dritten zu „teilen“ („Data Sharing“), also z. B. einem solchen Dritten eine Datenkopie zur Verfügung zu stellen. Für pbD kann dies als Ergänzung zum Recht auf Datenübertragbarkeit nach Art. 20 Abs. 1 DSGVO interpretiert werden.
Verpflichtungen eines Dritten als Datenempfänger, Art. 6 Data Act
Ein Dritter als Datenempfänger darf ihm gemäß Art. 5 Data Act zur Verfügung gestellte Daten nur für Zwecke und unter den Bedingungen verarbeiten, die mit dem Nutzer vereinbart wurden. Ein Datenempfänger muss bei pbD die Betroffenenrechte und weitere DSGVO-Grundsätze beachten, z. B. zur Datenlöschung.
Zudem darf ein Datenempfänger einem Nutzer vertraglich nicht verbieten, entsprechende Daten auch weiteren Dritten zur Verfügung zu stellen. Er darf die Daten nicht nutzen, um Konkurrenzprodukte zu entwickeln und er darf grundsätzlich kein Profiling im datenschutzrechtlichen Sinn (Art. 4 Nr. 4 DSGVO) vornehmen, außer soweit dies für eine vom Nutzer gewünschten Dienstleistung notwendig ist.
Verpflichtungen für Dateninhaber für die Datenbereitstellung, Art. 8 ff. Data Act
Dateninhaber, die Daten nach dem Data Act zur Verfügung stellen, müssen bestimmte Verpflichtungen einhalten. Dazu zählt etwa, dass die Datenbereitstellung auf der Grundlage von fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise erfolgt (Art. 8 Abs. 1 Data Act).
Verlangt der Dateninhaber für die Bereitstellung von Daten eine Vergütung vom Datenempfänger, muss diese angemessen sein (Art. 9 Abs. 1 Data Act).
Der Dateninhaber kann geeignete technische Schutzmaßnahmen implementieren, einschließlich sog. smart contracts, um einen unbefugten Datenzugriff zu verhindern und die Einhaltung der jeweiligen Anforderungen des Data Acts sowie entsprechender Vereinbarungen über die Datenbereitstellung zu gewährleisten. Diese technischen Schutzmaßnahmen dürfen allerdings nicht als Mittel eingesetzt werden, um etwaige Nutzerrechte nach dem Data Act zu beeinträchtigen (Art. 11 Abs. 1 Data Act).
„Unfaire“ Vereinbarungen über Datenzugang und -nutzung, Art. 13 Data Act
Über das Prinzip eines möglichst einfachen und barrierefreien Datenzugangs hinaus sollen einseitige „unfaire“ Vertragsklauseln über Datenzugang und -nutzung gegenüber Kleinstunternehmen sowie kleinen und mittleren Unternehmen ausgeschlossen werden.
Stets unwirksam sein sollen etwa vertragliche Ausschlüsse der Haftung für Vorsatz und grobe Fahrlässigkeit oder vollständige Gewährleistungsausschlüsse.
Daneben erklärt der Data Act bestimmte Regelungsinhalte als üblicherweise unwirksam. Dies betrifft beispielsweise unangemessene Gewährleistungsbeschränkungen oder Regelungen zu Datenzugang und Datennutzung, die legitime Interessen der anderen Vertragspartei erheblich beeinträchtigen.
Datenportabilität, Art. 23 ff. Data Act
Dateninhaber müssen nach Art. 23 ff. Data Act sicherstellen, dass Kunden zu einem anderen Dienstleister mit vergleichbaren Dienst wechseln und dabei u.a. entsprechende Daten portieren können. Während Art. 20 Abs. 1 DSGVO das Recht auf Datenübertragbarkeit für personenbezogene Daten regelt, die eine betroffene Person selbst zur Verfügung gestellt hat, umfassen die entsprechenden Anforderungen des Data Acts alle Daten im Anwendungsbereich des Data Acts.
Verhältnis zu datenschutzrechtlichen Regelungen
Dateninhaber und Datenempfänger im Sinne des Data Act müssen u. U. auch die DSGVO und das TTDSG beachten. Wenn nicht-personenbezogene und personenbezogene Daten untrennbar verbunden sind, sind die Anforderungen der DSGVO bei der Verarbeitung solcher Datensätze zu beachten (vgl. EG Nr. 30 Data Act; Art. 2 Abs. 2 VO (EU) 2018/1807 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union; „Datenverkehrs-VO“)). Nationale Umsetzungen der ePrivacy-Richtlinie und eine etwaige EU-ePrivacy-Verordnung sind ebenfalls neben dem Data Act zu beachten (EG Nr. 32 Data Act).
Die Abgrenzung von nicht-pbD und pbD ist aufgrund der europäischen Rechtsprechung und der Reichweite der DSGVO-Definition von pbD (Art. 4 Nr. 1 DSGVO) in der Praxis eine gewisse Herausforderung.
Daher sollte ein Dateninhaber zunächst klären, ob er pbD von nicht-pbD trennen kann (vergleichbar zu der entsprechenden Fragestellung im Rahmen der Datenverkehrs-VO). Dabei wird es voraussichtlich darauf ankommen, ob z. B. Umweltsensordaten gesondert generiert werden, ohne Personenbezug. Zudem könnte es entscheidend sein, ob ein Dateninhaber pbD ausreichend anonymisieren kann.
Für die Praxis bedeutet dies, dass neben den Anforderungen an eine Anonymisierung im Datenschutzrecht, z. B. auf der Grundlage einer Einwilligung oder eines überwiegenden berechtigten Interesses, auch die Anforderungen des Data Acts an den Umgang mit nicht-personenbezogenen Daten beachtet werden müssen. Auf (vollständig) anonymisierte Daten ist die DSGVO nicht anwendbar, der der Data Act allerdings schon. Nur zur Vollständigkeit sei hier erwähnt, dass auch § 25 TTDSG für nicht-personenbezogene Daten gilt. Danach sind die Speicherung von Daten in der Endeinrichtung eines Endnutzers und der Zugriff auf bereits in der Endeinrichtung gespeicherte Daten grundsätzlich nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Ausblick
Durch den Data Act wird kein absolutes Recht an Daten geschaffen (nicht-juristisch formuliert: Es wird kein „Dateneigentum“ geschaffen). Es werden der Zugang und die Nutzbarkeit von Daten im Zusammenhang mit bestimmten Produkten geregelt.
Der Data Act ist damit ein weiterer Beitrag zur Data Economy, welcher in der Praxis durchaus bedeutsam werden könnte. Er deutet einen Paradigmenwechsel bei Datenzugang und -nutzung an.