Der EU Data Act – neue Pflichten zur Zugänglichmachung von Daten und Rechte auf Datenzugang

Zielsetzung und Kern des Data Act

Die EU-Kommission begründet den Vorschlag zum Erlass des Data Act primär damit, dass der Wert von Daten zurzeit im europäischen Wirtschaftsraum nicht voll ausgeschöpft wird. Vielfach werden Daten zwar von Unternehmen erhoben, jedoch werden sie nicht oder nicht vollumfänglich genutzt, wodurch erhebliches Innovationspotential verloren geht. Als Grund dafür nennt die EU-Kommission mitunter Folgendes:

• mangelnde Klarheit, wer die von vernetzten Produkten (z.B. «Smart-Home» oder intelligente Industriemaschinen) erzeugten Daten nutzen darf;
• unzureichende Möglichkeiten von KMUs zum Abschluss von ausgewogenen Vereinbarungen über die gemeinsame Datennutzung mit stärkeren Marktteilnehmern;
• Hindernisse für den Wechsel zwischen verschiedenen Cloud- und ähnlichen Diensten;
• begrenzte Möglichkeiten zur Zusammenführung von Daten aus verschiedenen Sektoren.

Mit dem Data Act, der den deutschen Kurztitel «Datengesetz» trägt, will die Kommission diese Mängel beheben. Im Kern des Verordnungsentwurfs zum Data Act (DA-E) stehen daher detaillierte Vorschriften, welche für folgende Akteure ein Recht auf Datenzugang verankern und damit den betroffenen Dateninhabern Pflichten zum Zugänglichmachen und zum Teilen ihrer Daten auferlegen:

• die Nutzer eines Produktes oder Dienstes, bei deren Verwendung Daten generiert werden;
• Datenempfänger, («data recipients«) wie z.B. Unternehmen, welche die Daten mit Zustimmung der betroffenen Nutzer nutzen wollen; und
• öffentliche Einrichtungen, z.B. Behörden, die ein aussergewöhnliches Interesse an der Datennutzung für die Erfüllung ihrer Aufgaben haben.

Überblick Europäische Datenstrategie

Der Data Act bildet einen wesentlichen Bestandteil der Europäischen Datenstrategie zur Schaffung eines digitalen Binnenmarkts. Seitdem die Kommission im Februar 2020 ihre Europäische Datenstrategie vorgestellt hat, wurde eine Reihe an Entwürfen für neue Rechtsakte präsentiert. Zur Europäischen Datenstrategie im engeren Sinn zählen der Data Act (DA), der Data Governance Act (vgl. hierzu MLL-News vom 7. März 2021) und der European Health Data Space (EHDS). Zu beachten sind aber auch der Digital Markets Act (DMA) und der Digital Services Act (DSA), die ebenfalls konsumentenschutz- und wettbewerbsrechtliche Bestimmungen für den Umgang mit Daten enthalten (vgl. MLL-News vom 8. Juli 2021).

Die nachfolgende Übersicht über die Entwürfe dieser neuen Regulierungen der EU verdeutlicht, wie die Vorschriften des Data Acts in der Vielzahl an Vorschlägen einzuordnen sind:

Anwendungsbereich und Begriffsdefinitionen

Das erste Kapitel des Data-Act-Entwurfs enthält allgemeine Bestimmungen zum Zweck und Anwendungsbereich des Verordnungsentwurf sowie wesentliche Begriffsdefinitionen. Der DA-E ist auf Hersteller von Produkten («products«) bzw. Anbietern von zugehörigen Diensten («related services«) anwendbar, die in der EU angeboten werden und Nutzungsdaten erfassen, generieren oder sammeln.

Der Entwurf beschränkt den Anwendungsbereich jedoch auf physische Produkte und die dazugehörige Software, die Daten sammeln und diese selbständig elektronisch übermitteln. Insbesondere ist in diesem Zusammenhang an sogenannte «Smart Devices» und IOT-Anwendungen zu denken (z.B. Fahrzeuge, Smart-Home-Produkte, Medizinprodukte, intelligente Industriemaschinen). Nicht erfasst werden demgegenüber Produkte bzw. zugehörige Dienste, deren vorrangige Funktion das Speichern bzw. Bearbeiten von Daten ist, wie z.B. PCs, Sever, Tablets oder Smartphones.

Darüber hinaus soll die Verordnung Dateninhaber («data holders«), die Daten in der EU zur Verfügung stellen, und Datenempfänger («data recipients«) in der EU erfassen. Schliesslich sind auch Datenverarbeitungsdienste, welche ihre Dienstleistungen an Kunden in der EU anbieten, vom Anwendungsbereich des Verordnungsentwurf erfasst (z.B. Cloud oder Edge-Computing-Anbieter).

Pflicht zur Zugänglichmachung von nutzergenerierten Daten und Datennutzungsrecht

Der DA-E sieht eine Verpflichtung vor, dass Produkte bzw. Angebote von zugehörigen Diensten in einer Art und Weise konzipiert werden, dass der Nutzer einfach, sicher und direkt auf nutzergenerierte Daten zugreifen kann («data access by default«) (Art. 3 Abs. 1 DA-E). Damit dürfte z.B. darauf abgezielt werden, dass der Nutzer einer intelligenten Heizungssteuerung einfach über die App des Anbieters seine Nutzungsdaten aufrufen kann. Durch Sicherheitsmassnahmen, wie z.B. eine Zwei-Faktor-Authentifizierung oder biometrische Zugangskontrollmechanismen könnte gewährleistet werden, dass tatsächlich nur der berechtigte Nutzer auf die Daten zugreifen kann. Ist ein solcher direkter Zugriff auf die Daten nicht möglich, muss dem Nutzer grundsätzlich die Möglichkeit eingeräumt werden, durch eine unkomplizierte elektronische Anfrage Zugang zu den Daten zu erlangen (Art. 4 Abs. 1 DA-E). Dem Nutzer sind vor Vertragsabschluss schliesslich auch Informationen zu Art und Ausmass der Datenerhebung und des Datenzugriffs zur Verfügung zu stellen.

Der Nutzer soll nach dem Entwurf des Data Act das Recht haben, die nutzergenerierten Daten mit von ihm bestimmten Dritten in einer entsprechenden Qualität und innerhalb kurzer Frist und – falls möglich – in Echtzeit zu teilen (Art. 5 Abs 1 DA-E). In dem oben genannten Beispiel mit der intelligenten Heizungsteuerung, wäre z.B. denkbar, dass der Nutzer seine nutzergenerieten Daten mit einer Energiespar-App verknüpfen will, um Einsparpotentiale zu erkennen. Insofern geht die vorgeschlagene Regelung auch über das sog. Recht auf Datenportabilität hinaus, das in der EU-DSGVO für personenbezogenen Daten vorgesehen ist.

Der Dritte, dem die Daten zur Verfügung gestellt werden sollen, darf den Nutzer nicht unter Druck setzen (z.B. durch finanzielle oder anderweitige Anreize) die Daten zu teilen. Hier unterscheidet der Entwurf des Data Act je nach Unternehmensgrösse und sieht für sogenannte Gatekeeper (z.B. Facebook. Google, etc.) im Sinne des Digital Markets Acts strengere Anforderungen vor (Art. 5 Abs. 2 DA-E). Zudem ist es dem Datenempfänger nur erlaubt, die Daten für die Zwecke zu bearbeiten, denen der Nutzer vorab zugestimmt hat. Darüber hinaus verbietet der DA-E gewisse Datenverwendungen, wie z.B. das Profiling anhand der zur Verfügung gestellten Daten bzw. die Entwicklung von Produkten oder Diensten, die in Konkurrenz zu jenen des ursprünglichen Dateninhabers stehen (Art. 6 Abs. 1 DA-E).

Rahmenbedingung für den verpflichtenden Datenaustausch

In Situationen, in denen der Dateninhaber vom Nutzer – oder von einer Behörde – verpflichtet wird, nutzergenerierte Daten zu teilen, sollen die Daten in einer fairen, nicht-diskriminierenden und verhältnismässigen Art und Weise zur Verfügung gestellt werden. Die Daten sollen nicht einzelnen Empfängern exklusiv zur Verfügung gestellt werden, es sei denn der Nutzer verlangt dies. Zudem hat der Dateninhaber einen Anspruch auf ein verhältnismässiges Entgeld durch den Datenempfänger. Die Kosten für die Datenzurverfügungstellung an KMUs sollen nicht die tatsächlichen Kosten übersteigen, die dem Dateninhaber im Zusammenhang mit der Zurverfügungstellung entstanden sind. Dem Dateninhaber steht es frei, technische Massnahmen zu ergreifen, die einen ungerechtfertigten Zugriff auf die zur Verfügung gestellten Daten verhindern. Schliesslich sieht der DA-E einen Streitbeilegungsmechanismus für Streitigkeiten zwischen Dateninhaber und Datenempfängern vor.

Verbot unfairer Vertragsklauseln

Der Entwurf des Data Act enthält sodann auch Regelungen über unfaire Vertragsklauseln (Kapitel IV). Damit soll insbesondere der unausgewogenen Verhandlungsmacht zwischen KMUs und grossen Unternehmen, die über einen umfangreichen Datenschatz verfügen, Rechnung getragen werden. Die EU-Kommission will damit verhindern, dass KMUs durch die unilaterale Auferlegung von Hindernissen die sinnvolle Datennutzung unverhältnismässig erschwert oder unmöglich gemacht wird.

Wechsel zwischen Data Processing Services

Neben der Schaffung des Rechts auf Datenzugang, ist ein weiteres Ziel des Data-Act-Entwurfs, den Wechsel von Datenverarbeitungsdiensten («data processing service») zu erleichtern. Unter einem Datenverarbeitungsdienst versteht der DA-E insbesondere Cloud- und Edge-Computing-Dienste. Durch die Bestimmungen des sechsten Kapitels des DA-E sollen insbesondere mit dem Wechsel verbundene kommerzielle, technische, vertragliche und organisatorische Hürden abgebaut und dadurch ein sogenannter «Lock-in-Effekt» verhindert werden.

Um den Wechsel zwischen verschiedenen Cloud- bzw. Edge-Anbietern zu erleichtern, dürfen keine der genannten Hürden implementiert werden, die den Kunden daran hindern:

• Verträge innerhalb einer Frist von maximal 30 Tagen zu kündigen;
• einen neuen Vertrag mit einem anderen Anbieter abzuschliessen;
• Daten, Anwendungen und andere digitale Werte an einen neuen Anbieter zu übertragen;
• auf äquivalente Funktionen in der IT-Infrastruktur des anderen Anbieters zuzugreifen.

Darüber hinaus müssen die Verträge mit Cloud- bzw. Edge-Anbietern gewisse inhaltliche und formelle Mindestanforderungen erfüllen.

Vorgaben für internationalen Transfer nicht-personenbezogener Daten

Anbieter von Datenverarbeitungsdiensten müssen angemessene technische, rechtliche und organisatorische Massnahmen ergreifen, um den Transfer von nicht-personenbezogenen Daten ins EU-Ausland oder einen staatlichen Zugriff zu verhindern, der im Konflikt zum EU- oder nationalen Recht steht. Der Zugriff darf z.B. aufgrund von Anordnungen eines ausländischen Gerichts nur gewährt werden, wenn es diesbezüglich ein internationales Abkommen gibt bzw. wenn die ausländische Gerichtsentscheidung gewisse Voraussetzungen erfüllt.

Interoperabilität

Damit die im Rahmen des Entwurfs des Data Acts zur Verfügung gestellten Daten auch sinnvoll genutzt werden können, müssen Betreiber von Datenräumen («operators of data spaces«) gewisse Anforderungen erfüllen, welche die Interoperabilität von Daten, Datenaustausch-Mechanismen und -diensten («data sharing mechnisms and services«) sicherstellen. Hierbei muss der Betreiber des Datenraumes gewisse Mindestangaben z.B. zur Datenqualität, den Nutzungsbedingungen, dem Inhalt des Datensatzes und der Datenstruktur machen. Der Vorschlag der Kommission sieht vor, dass EU-weite Datenstandards durch eigens dafür geschaffene Normierungsorganisationen («standardisation organisations«) geschaffen werden, um die Interoperabilität von Daten im gesamten Binnenmarkt zu gewährleisten.

Vollzug und Sanktionen

Der Data Act soll durch die national zuständigen Behörden vollzogen werden. Insofern personenbezogene Daten betroffen sind, übernehmen die Datenschutzbehörden des jeweiligen Mitgliedsstaats den Vollzug. Die Sanktionsbestimmungen des DA-E verweisen auf die hohen Strafen der DSGVO, dementsprechend können Unternehmen, die gegen den Data Act verstossen, mit Geldstrafen von bis zu EUR 20.000.000 oder 4% ihres weltweiten Jahresumsatzes bestraft werden.

Schlussfolgerungen und Ausblick

Beim DA-E handelt es sich um einen grundlegenden Vorstoss der EU-Kommission, um den Datenmarkt durch die Schaffung von weitreichenden Zugangsrechten zu «liberalisieren». Nutzergenerierte Daten sollen dem Verordnungsentwurf zufolge nicht mehr nur dem Dateninhaber zur Verfügung stehen, sondern auch einer Vielzahl an Unternehmen (und dem Nutzer), die diese für ihre eigenen Zwecke verwenden dürfen. Es ist damit zu rechnen, dass dadurch insbesondere ein freier Datenmarkt für nicht-personenbezogene Nutzungsdaten entsteht, da die DSGVO dem freien Austausch von personenbezogenen Daten weitreichende Schranken setzt.

Der DA-E kann als erheblicher Eingriff in die Rechte der Dateninhaber verstanden werden, jedoch ist die Schaffung eines Binnenmarkts für Daten nach Ansicht der Kommission notwendig, um weiterhin international wettbewerbsfähig zu bleiben. Darüber hinaus beschränkt sich das Recht auf Datenzugriff nur auf Daten, die im Rahmen der Nutzung von gewissen Produkten und damit verbundenen Diensten erzeugt werden. Es handelt sich folglich nicht um eine gänzliche «Enteignung» der Dateninhaber. Die Enteignung ist hier unter Anführungszeichen gesetzt, da man an Daten weder Eigentum begründen kann, noch – in der Regel – ein immaterialgüterrechtlicher Schutz an ihnen besteht (ausgenommen dem sui-generis Recht des Datenbankerstellers). Um weiterhin einen Anreiz zur Datenerzeugung zu setzen, sieht der DA-E eine finanzielle Entschädigung für den Dateninhaber vor.

Selbst wenn die Liberalisierung des Datenmarkts positive Effekte auf die Wirtschaft hat, kann bereits jetzt gesagt werden, dass der Data Act zu einer erheblichen Komplexitätssteigerung für die Beteiligten führen wird. Insbesondere die vertraglichen und technischen Vorgaben wirken auf den ersten Blick äusserst kompliziert und dürften in der Praxis schwer umzusetzen sein.

Bis zum 13. Mai 2022 konnten Stakeholder ihre Rückmeldungen zum Verordnungsentwurf einbringen, auf deren Grundlage der Entwurf nun überabreitet wird. Es überrascht bereits aufgrund der Tragweite nicht, dass der vorliegende Entwurf des Data Act erhebliche Kritik aus der Wirtschaft und Industrie hervorruft.  Dementsprechend ist damit zu rechnen, dass es noch zu Anpassungen kommen wird. Anschliessend muss der DA-E im Rahmen des EU-Gesetzgebungsverfahrens durch das Europäische Parlament und den Rat der EU angenommen werden. Erfahrungsgemäss ist nicht vor Anfang 2024 mit dem Inkrafttreten des Data Acts zu rechnen.

In der Schweiz ist – soweit ersichtlich – kein vergleichbarer Rechtsakt geplant ist. Jedoch wird sich der Data Act auf Schweizer Unternehmen auswirken, die Produkte und verbundene Dienste im Sinne des DA-E in der EU anbieten. Diesen Unternehmen ist es zu empfehlen, sich frühzeitig mit der Verordnung auseinanderzusetzen, da die technische und organisatorische Umsetzung der vorgeschriebenen Massnahmen anspruchsvoll wird. Der weitere Verlauf des Gesetzgebungsverfahrens sollte deshalb aufmerksam mitverfolgt werden.

Weitere Informationen:

• Entwurf der EU-Kommission zum Data Act
• Pressemitteilung EU-Kommission: Data Act
• European Health Data Space
• Digital Markets Act
• Digital Services Act
• MLL-News vom 7. März 2021: «Data Governance Act: Vorschlag für eine Verordnung über die europäische Datenverwaltung»