Der „Data Act“ kommt– Checkliste zur Vorbereitung
01.08.2023
Die Europäische Kommission hat Anfang 2022 einen Entwurf für „Data Act“ vorgelegt und am 27. Juni 2023 erzielten der EU-Rat, das Parlament und die Kommission (häufig als Trilog bezeichnet) eine Einigung über die Bestimmungen des Gesetzes zu den entscheidenden Fragen der gemeinsamen Nutzung von Daten, des Geschäftsgeheimnisses, der vertraglichen Aspekte, der Interoperabilität und des „Cloud-Switching“. Mit der Einigung im Trilog ist das Gesetzgebungsverfahren abgeschlossen. Die Vereinbarung kann nun förmlich angenommen werden. Nach seiner Verabschiedung soll das Data Act am 20. Tag nach seiner Veröffentlichung im Amtsblatt in Kraft treten und 20 Monate danach wirksam werden. Wir stellen die aktualisierte Fassung des Data Act zur Verfügung, obwohl sie noch nicht offiziell veröffentlicht wurde.
Der Data Act soll die rechtlichen Bedingungen für den Zugang zu und die Nutzung von nicht-personenbezogenen, nutzergenerierten Daten neu regeln, indem er sowohl für den privaten als auch für den öffentlichen Sektor Zugangsrechte zu Daten schafft und gleichzeitig Dateninhabern, Produktherstellern und Cloud-Anbietern erhebliche Verpflichtungen auferlegt.
Aufgrund ihres sektorübergreifenden Ansatzes gilt die Verordnung für alle Branchen und Wirtschaftszweige. Praktisch jedes Unternehmen, das in irgendeiner Weise Daten verarbeitet, ist potenziell vom Data Act betroffen, obwohl die meisten Pflichten des Data Act grundsätzlich nicht für kleine Unternehmen gelten.
Das Data Act regelt die Erfassung von Daten aus IoT-Geräten wie z.B. Haushaltsgeräten, Fitness-Geräte, Sprachassistenten, Industrieanlagen und vernetzten Fahrzeugen, sowohl personenbezogener als auch nicht personenbezogener Daten. Diese Daten sind wertvoll für die Produktentwicklung, die Wartung von Geräten und das Training von Algorithmen. Alles unter der Behauptung, die Datenschutzgrundverordnung bleibt unberührt.
Hersteller und Händler werden diese Daten nicht mehr exklusiv speichern können. Für kleine und mittlere Unternehmen bietet der Data Act neue Möglichkeiten, Zugang zu diesen Daten zu erhalten und neue Geschäftsmöglichkeiten zu entwickeln. Der Data Act gilt sowohl für europäische als auch für nichteuropäische Unternehmen, die in der EU tätig sind oder Produkte oder damit verbundene Dienstleistungen vermarkten.
Bereitstellung gespeicherter Daten für Nutzer und Drittempfänger
Der Data Act räumt Nutzern (Verbrauchern und Unternehmen) das Recht ein, auf IoT-Daten von vernetzten Produkten und Diensten zuzugreifen und diese mit Dritten in derselben Qualität wie das Original zu teilen. Die Daten sollen in Echtzeit, kostenlos und in einem maschinenlesbaren Format zur Verfügung gestellt werden. Hersteller und Verkäufer müssen die Nutzer vor Vertragsabschluss über den Datenzugang und die Datenweitergabe informieren. Die Nutzer haben das Recht, Art und Umfang der erzeugten Daten, deren kontinuierliche Erzeugung in Echtzeit, die Absicht des Herstellers, die Daten zu nutzen oder weiterzugeben, und die Identität des Dateninhabers zu erfahren. Die Nutzer können gegebenenfalls bei der zuständigen Behörde Beschwerde einlegen.
Die Hersteller dürfen die Daten nur dann für eigene Zwecke verwenden, wenn dies ausdrücklich mit dem Nutzer vereinbart wurde. Die Nutzer können die Empfänger ihrer Daten frei wählen, es sei denn, es handelt sich um einen “Gatekeeper” im Sinne des Digital Markets Act. Ein Gatekeeper kontrolliert den Marktzugang und hat erheblichen Einfluss, wie z.B. Microsoft, Google, Apple und Facebook. Infolgedessen dürfen Gatekeeper weder direkt noch indirekt Nutzerdaten erhalten.
Daten, die B2B-Empfängern zur Verfügung gestellt werden, müssen fairen, angemessenen und nichtdiskriminierenden Vertragsbedingungen entsprechen. Der Nutzer erteilt Dritten eine Lizenz und bestimmt, welche Empfänger auf die Daten zugreifen dürfen. Für die Weitergabe der Daten kann der Dateninhaber eine angemessene Vergütung verlangen.
Interoperabilität
Der Nutzer kann den Vertrag mit seinem Datenverarbeiter, z.B. einem Cloud-Anbieter, innerhalb von 30 Tagen kündigen. Der Cloud-Anbieter muss den Wechsel des Dienstleisters durch Schnittstellen und die Einhaltung von Interoperabilitätsstandards unter Wahrung der Funktionsäquivalenz und der Sicherheitsstandards gewährleisten. Nach der Umstellung sind alle Daten und Metadaten zu löschen. Die Anbieter von Datenverarbeitungsdiensten dürfen für die Datenübermittlung nur ein reduziertes Entgelt verlangen.
Zudem müssen die Anbieter offenlegen, ob sie über IT-Infrastruktur in Drittstaaten verfügen und Maßnahmen ergreifen, um einen unbefugten staatlichen Zugriff auf nicht personenbezogene Daten zu verhindern, der gegen EU-Recht verstößt (Art. 27 Data Act).
Behördlicher Zugriff
Öffentliche Stellen und EU-Einrichtungen können Zugang zu Daten haben, insbesondere bei öffentlichen Notfällen wie Naturkatastrophen, Pandemien oder bei der Wahrnehmung von Aufgaben im öffentlichen Interesse. Die Behörde kann auf Daten zugreifen, wenn es keine andere zeitnahe und effiziente Möglichkeit gibt, sie unter gleichwertigen Bedingungen zu beschaffen, wobei die Beschaffung von Daten auf dem Markt für Aufgaben im öffentlichen Interesse Vorrang hat.
Erhält ein Unternehmen ein solches Ersuchen, muss es die angeforderten Daten unverzüglich zur Verfügung stellen (Art. 18 (1) Data Act), es sei denn, die Daten stehen ihm nicht zur Verfügung oder das Ersuchen entspricht nicht den gesetzlichen Anforderungen. Falls erforderlich, sollten personenbezogene Daten vor der Weitergabe anonymisiert oder pseudonymisiert werden.
Nicht-missbräuchliche Vertragsklauseln zwischen Dateninhabern und Empfängern
Der Data Act zielt darauf ab, missbräuchliche Vertragsklauseln zwischen Dateninhabern und Empfängern zu verhindern, und solche Klauseln sind nicht bindend. Die Verordnung definiert missbräuchliche Klauseln als solche, die erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen. Beispiele hierfür sind die Beschränkung der Haftung für Vorsatz oder grobe Fahrlässigkeit, der Ausschluss von Rechtsmitteln bei Nichterfüllung, die Gewährung einseitiger Rechte zur Auslegung von Klauseln, der Zugriff auf Daten, der die berechtigten Interessen der anderen Partei verletzt, die Behinderung der Datennutzung, die Verweigerung von Datenkopien und unangemessen kurze Kündigungsfristen für Verträge. Die Kommission wird Mustervertragsklauseln einführen, um missbräuchliche Klauseln zu vermeiden. Die Verordnung regelt nicht die Datennutzung, die mit Verbrauchern geschlossen werden, um große Datenmengen zu erhalten, und es gibt derzeit keine Leitlinien, wie diese rechtskonform formuliert werden können. Unternehmen sollten darauf achten, dass solche Datennutzungsverträge klar formuliert sind und die Verbraucher zumindest nicht pauschal auf alle Rechte an ihren Daten verzichten.
Schutz des geistigen Eigentums
Der Data Act verpflichtet die Unternehmen nicht zur Offenlegung ihrer Geschäftsgeheimnisse (Art. 8 (6) Data Act). Der Dateninhaber kann vor der Bekanntgabe von Daten die notwendigen Maßnahmen zum Schutz seiner Geschäftsgeheimnisse ergreifen und die Nutzer oder Datenempfänger vertraglich verpflichten, zusätzliche Maßnahmen zum Schutz der Daten zu ergreifen. In Ausnahmefällen können die Dateninhaber die Weitergabe verweigern, wenn ein schwerer und nicht wiedergutzumachender wirtschaftlicher Schaden zu erwarten ist, wobei eine Meldung an die zuständige Behörde zur Überprüfung erforderlich ist. Jede Verwendung der Daten zur Entwicklung von Konkurrenzprodukten ist strengstens untersagt (Art. 4 Abs. 4 Data Act). Wenn ein Empfänger die Daten des Dateninhabers unbefugt erhält oder verwendet, muss er sie zusammen mit den daraus abgeleiteten Gütern vernichten und Schadenersatz leisten (Art. 11 (2) Data Act), es sei denn, es ist kein Schaden entstanden oder die Maßnahme ist unverhältnismäßig.
Checkliste für mittlere und große Unternehmen:
Unternehmen sollten
- die Art und den Umfang der Daten bestimmen, die bei der Nutzung eines Produkts oder einer damit verbundenen Dienstleistung anfallen können.
- Prozesse so entwickeln, dass alle nutzergenerierten Daten, die von vernetzten Produkten und Diensten erhoben werden, direkt über das Produkt, in Echtzeit, kostenlos und kontinuierlich in einem maschinenlesbaren Format zur Verfügung gestellt werden können.
- Anpassung der Verträge und Webseiten vor der Umsetzung des Data Act vornehmen, um vom Nutzer eine Lizenz zur Nutzung der Daten für eigene Zwecke zu erhalten und Informationen darüber bereitzustellen, wie der Datenzugriff und die Weitergabe an Dritte eingeleitet werden können (Datenportabilität).
- Basis-Mustervertragsklauseln mit Datenempfängern verwenden, sobald diese verfügbar sind.
- Unfaire Vertragsklauseln vermeiden (Diskriminierung einzelner Datenempfänger, ausschließliche Bereitstellung an nur einen Datenempfänger).
- Gebühren für die Bereitstellung der Daten an Dritte angemessen festlegen und im Falle eines Empfängers, der Kleinstunternehmen ist, sicherstellen, dass die Kosten nur das abdecken, was für die Erhebung und Bereitstellung der Daten notwendig ist.
- sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden oder dass eine Rechtsgrundlage nach der DSGVO für die Weitergabe besteht.
- Schutz von Geschäftsgeheimnissen und Anwendung vertraglicher und technischer Schutzmaßnahmen gegen die Offenlegung von geistigem Eigentum bei der Bereitstellung von Daten gewährleisten.
- Daten an Behörden nur in Ausnahmefällen bereitstellen und wenn immer möglich anonymisieren oder pseudonymisieren, sollte es sich um personenbezogene Daten handeln.