Im modernen Informationszeitalter verfolgt die EU seit Längerem eine gesamteuropäische Datenstrategie. Im Fokus steht dabei die Schaffung eines kompetitiven Datenmarktes unter den Gesichtspunkten europäischer Werte. Nach dem sog Data-Governance-Gesetz (Data Governance Act) hat die EU Kommission nun mit einem Entwurfsvorschlag zum sog Datengesetz (Data Act) aufhorchen lassen.

Der Entwurf (“Data-Act-Entwurf“) enthält harmonisierte Vorschriften für einen fairen Zugang zu Daten und deren Nutzung. Bereits in seiner derzeitigen Fassung zeigt er das Potential, weitreichende Änderungen auf dem europäischen Datenmarkt herbeizuführen. Welche neuen Möglichkeiten und zusätzlichen Anforderungen sich dadurch für Händler ergeben können, erfahren Sie im vorliegenden Legal Update # 29.

1. Rechtliche Einordnung und Gegenstand des Data-Act-Entwurfes

In Abgrenzung zur EU-Datenschutz-Grundverordnung (“DSGVO”), deren Ziel der Schutz der Rechte und Freiheiten europäischer Bürger im Umgang mit ihren personenbezogenen Daten ist, versucht der Data-Act-Entwurf das wirtschaftliche Potential von (insb maschinengenierten und nicht-personenbezogenen) Daten für Wirtschaftstreibende nutzbar zu machen.

Dementsprechend behandelt er im Wesentlichen folgende Punkte:

  • Regelung des Datenaustausches mit privaten (B2B und B2C) sowie öffentlichen Stellen;
  • Vorschriften für Dateninhaber (Data Holders), Produkthersteller und -verkäufer;
  • Regelungen für den Schutz von KMU;
  • Regelung des Wechsels zwischen Datenverarbeitungsdiensten (Data Processing Services);
  • Vorgaben zur Interoperabilität zwischen Datenverarbeitungsdiensten;
  • Vorschriften für den internationalen Transfer von nicht-personenbezogenen Daten.

1.1 Datenaustausch mit privaten Stellen und Pflichten des Dateninhabers

Der Data-Act-Entwurf regelt den Austausch von Daten, welche durch die Nutzung von Produkten oder verwandten Diensten generiert wurden. Geregelt wird einerseits der Datenaustausch zwischen den Nutzern (Usern) dieser Produkte und den Dateninhabern sowie andererseits zwischen den Dateninhabern und Dritten (Data Recipients).

Im Zentrum dieses Systems steht der Nutzer, welchem weitgehende Zugriffsrechte auf seine Daten eingeräumt werden. Dieser trägt nach den Worten der Kommission “die Risiken und genießt die Vorteile der Nutzung eines vernetzten Produktes” und sollte “frei sein, die Daten für sämtliche rechtskonforme Zwecke zu verwenden“. So muss ihm etwa ohne Verzögerung, jederzeit, kostenlos und ggf sogar in Echtzeit der Zugriff auf die Daten ermöglicht werden. Weiters kann er auf Anfrage auch verlangen, dass “seine” Daten an einen Dritten übertragen werden. Aus einer unternehmerischen Perspektive könnte sich daher der Data-Act-Entwurf als guter Nährboden für die Entwicklung innovativer Geschäftsmodelle auf Basis dieser Daten erweisen.

Zu beachten ist allerdings, dass auch den Nutzer bestimmte Pflichten treffen. So dürfen die Daten etwa nicht zur Entwicklung von Produkten verwendet werden, welche mit den ursprünglichen Produkten (durch welche die Daten generiert wurden) konkurrieren.

1.2       Vorschriften an Dateninhaber

Dem steht der Dateninhaber gegenüber, welcher die Verpflichtung hat, dem Nutzer die Ausübung seiner Rechte zu ermöglichen und ihm die Daten zugänglich zu machen. Der Dateninhaber ist im Wesentlichen jede Person, welche – durch die Kontrolle über die technische Gestaltung von Produkten – die Möglichkeit hat, den Nutzern die Daten zur Verfügung zu stellen. Dies, soweit sich die Empfänger seiner Leistungen und damit schlussendlich von Daten in der EU befinden – allerdings verbleiben Abgrenzungsfragen.

Dementsprechend steht der Dateninhaber vorrangig in der Verantwortung:

  • dem Nutzer den Zugang zu den Daten zu ermöglichen;
  • auf Anfrage des Nutzers die Daten einem Dritten zur Verfügung zu stellen;
  • durch technische Maßnahmen die Daten vor unautorisierten Zugriffen oder ungewollter Offenlegung zu schützen.

Außerdem stellt der Data-Act-Entwurf klar, dass der Dateninhaber die Daten nicht beliebig “auf eigene Faust” verwenden darf. Vielmehr muss die eigenständige Verarbeitung von Daten auf Basis und im Rahmen eines zuvor abgeschlossenen Vertrags mit dem Nutzer erfolgen. Gepaart mit den Einschränkungen der Vertragsfreiheit (siehe Punkt 1.5) bewirkt diese Regelung eine starke Aufwertung der Position des Nutzers.

Der Umfang der Zugriffsrechte könnte sich zudem als problematisch herausstellen. Prinzipiell sind davon nämlich auch Geschäftsgeheimnisse erfasst und müssen – zumindest unter zusätzlicher Einhaltung von (Geheimhaltungs-)Maßnahmen – ebenfalls an den Nutzer herausgegeben werden.

1.3 Vorschriften für Hersteller und Verkäufer von Produkten

Es finden sich im Data-Act-Entwurf auch (i) Anforderungen an die Produkte selbst sowie (ii) vorvertragliche Informationspflichten, welche gegenüber den Nutzern erfüllt werden müssen.

Damit richtet sich dessen Regelungsgehalt auch an die Hersteller und Verkäufer von vernetzten Produkten. Dabei wird va darauf abgezielt, dem Nutzer die Ausübung seines Rechts auf Datenaustausch zu ermöglichen. Auch hier wird die Branche entsprechend reagieren und vermehrt nutzerfreundliche Datenschnittstellen in ihre Produkte integrieren müssen, um die neuen Anforderungen erfüllen zu können.

1.4 Datenaustausch mit öffentlichen Stellen

Neben den bereits dargestellten Regeln für den Datenaustausch unter Privaten sieht der Data-Act-Entwurf ein Zugriffsrecht für öffentliche Stellen (innerhalb der EU) aufgrund von außergewöhnlichen Erfordernissen (exceptional needs) vor. Das außergewöhnliche Erfordernis an der Datennutzung kann dabei hauptsächlich in Fällen eines öffentlichen Notstandes (zB bei Klimakatastrophen) gegeben sein.

1.5 Schutz von KMU

Bemerkenswert umfassend postuliert der Data-Act-Entwurf Schutzbestimmungen und Ausnahmen für KMU. Etwa finden wesentliche Teile seines Regelwerkes auf KMU keine Anwendung (zB die oben beschriebenen Bestimmungen über den Datenaustausch). Zudem enthält der Data-Act-Entwurf detaillierte Vorgaben an vertragliche Vereinbarungen mit KMU, durch welche das faktische Ungleichgewicht in Verhandlungen mit internationalen Konzernriesen ausgeglichen werden soll.

Damit wird die immer stärkere Tendenz des europäischen Gesetzgebers ersichtlich, praktisch vorherrschenden Ungleichgewichten der modernen Marktwirtschaft durch gezielte Gesetzgebung entgegenzusteuern.

1.6 Wechsel von Datenverarbeitungsdiensten und Vorgaben zur Interoperabilität

Ein wesentlicher Aspekt des Data-Act-Entwurfes sind Bestimmungen, welche einen erleichterten Wechsel von Datenverarbeitungsdiensten ermöglichen sollen. Ein Datenverarbeitungsdienst ist grundsätzlich ein digitaler Dienst, welcher Kunden per Fernzugriff einen ständigen Zugang zu Rechenressourcen ermöglicht (zB Edge- und Cloud-Dienste).

Um dieses Ziel zu erreichen, setzt der Data-Act-Entwurf an zwei Stellen an: (i) Er schränkt den vertraglichen Gestaltungsspielraum für Anbieter dieser Datenverarbeitungsdienste ein; (ii) er formuliert technische Vorgaben, welche einen Wechsel der Dienste praktisch umsetzbar machen sollen.

Zunächst wird hierzu den Anbietern der Abschluss bestimmter nachteiliger Klauseln untersagt und ein Mindestinhalt für Kundenverträge vorgegeben. Unzulässig wäre etwa die Vereinbarung einer längeren Kündigungsfrist als 30 Tage. Auch das Recht die Datenverarbeitungsdienste wechseln zu können, muss sich in Verträgen mit Kunden finden.

Diese (vertraglichen) Rahmenbedingungen werden in weiterer Folge um technische Vorgaben ergänzt. Ziel ist dabei die Interoperabilität und Kompatibilität von Datenräumen (Data Spaces) (und Smart-Contracts) auch auf praktischer Ebene sicherzustellen und somit den Datenaustausch zwischen ihnen zu ermöglichen.

Damit werden diesem Wirtschaftszweig durch den Data-Act-Entwurf umfassende Pflichten auferlegt, die zu weitreichenden Veränderungen am Markt führen könnten. Insb das Verbot längerer Kündigungsfristen gepaart mit dem Recht auf Anbieterwechsel haben das Potential den Wettbewerb zu verschärfen und greifen in einem nicht unerheblichen Maß in die Privatautonomie der Beteiligten ein.

1.7 Internationaler Datentransfer

Der Data-Act-Entwurf erhöht ebenfalls das Schutzniveau der Daten im internationalen Kontext. Damit sollen auch nicht-personenbezogene Daten vor den Risiken eines internationalen Transfers und Zugriffen von Behörden im EU-Ausland geschützt werden.

Dabei hatte die Kommission vor Augen, dass ein internationaler Transfer in Konflikt mit Unionsrecht geraten kann, wenn schützenswerte Interessen im Spiel sind (zB, wenn es um Geschäftsgeheimnisse geht). Dementsprechend müssen Anbieter von Datenverarbeitungsdiensten angemessene Maßnahmen treffen, um internationale Datentransfers oder Zugriffe von ausländischen Behörden unterbinden zu können, wenn sich ein derartiger Gesetzeskonflikt abzeichnen sollte.

Wirtschaftlich betrachtet kann diese Bestimmung zu einschneidenden Veränderungen im Geschäftsmodell von Edge- oder Cloud-Anbietern führen, da – neben dem bisher schon problematischen Transfer von personenbezogenen Daten – nunmehr auch der Transfer von nicht-personenbezogenen Daten in ein Land außerhalb der EU erschwert wird und zusätzliche Maßnahmen zum Schutz dieser Daten ergriffen werden müssen.

2. Mögliche Auswirkungen des Data Acts auf die europäische Datenwirtschaft

In seiner momentanen Fassung gleicht der Entwurf des Data Acts einem zweischneidigen Schwert. Zum einen wird ein neuartiger Wirtschaftssektor einer dringend benötigten Regulierung unterworfen, wodurch dem europäischen Binnenmarkt – ähnlich den amerikanischen Goldsuchern – die Erschließung enormen wirtschaftlichen Potentials möglich wird. Auf der anderen Seite werden einige Akteure in der Datenverarbeitungskette mit einer Vielzahl von Pflichten beladen, die weit in ihre – für einen funktionierenden Binnenmarkt wesentliche – Privatautonomie reichen.

Für die meisten Händler begrüßenswert dürften allerdings die Bestimmungen zum Schutz von KMU sein, da besonders die IT-Branche faktisch von wenigen Großkonzernen dominiert wird. Damit wird kleineren Unternehmen wieder etwas mehr Raum für technische Innovationen gegeben und Abhängigkeitsverhältnisse werden aufgelockert.

3. Problematische Aspekte aus rechtlicher Perspektive

Es bleibt offen, ob der Kommission der “Balanceakt” mit den weiteren datenschutzrechtlichen Regelungswerken gelingt – allen voran der DSGVO. Insb die weite Auslegung des Begriffs der “personenbezogenen Daten” könnte ihr hier zum Verhängnis werden. Da es grundsätzlich für den Personenbezug – und damit die Anwendbarkeit der strengen Regeln der DSGVO – ausreicht, wenn die betroffene Person potentiell identifizierbar ist, wird sich in der Praxis die Abgrenzung zwischen nicht-personenbezogenen und personenbezogenen Daten nur schwer treffen lassen. Das könnte dazu führen, dass der “Data Act” allzu oft seiner “großen Schwester”, der DSGVO, weichen muss, welche unbeschadet der Anwendbarkeit des Data Acts den Schutz von personenbezogenen Daten regelt. Aus einer rechtlichen Sicht hängt daher der Erfolg maßgeblich von einer genauen Abgrenzung zu anderen gesetzlichen Vorschriften ab.

Arthur Stadler / Tamino Chochola / Felix Bauer

Weitere Beiträge aus unserem Journal

Related Posts

Krypto-Forensik, Geldwäsche & regulative Anforderungen bei Bitcoin

September 7th, 2022

ETH.STORE: Ein objektiver Referenzzinssatz für Ethereum Staking

August 16th, 2022

Sommer Kuss Verkauf

Juli 1st, 2022

Vienna Fintech Week 2022 - HIGHLIGHTS

Juni 23rd, 2022