Data Act – Neue Regeln für Datenwirtschaft
Mit dem Data Act (Verordnung (EU) 2023/2854 des Europäischen Parlaments und Rates (DA)) reagiert der EU-Gesetzgeber auf die zunehmende Digitalisierung. Insbesondere haben immer mehr internetvernetzte Produkte den Unionsmarkt erobert. Der DA gilt ab dem 12. September 2025. Es handelt sich hierbei um eine Verordnung, die unmittelbare Geltung in den Mitgliedsstaaten der EU entfaltet. Insofern ist zu beachten, dass zum Beispiel die Pflicht, vernetzte Produkte so herzustellen, dass standardmäßig Produktdaten einfacher für den Nutzer zugänglich sind, nur für Produkte gilt, die nach dem 12. September 2026 in den Verkehr gebracht werden (entsprechendes gilt für verbundene Dienste).
Der DA hält sowohl Regelungen zum Schutz der Nutzer solcher Produkte bereit als auch Regelungen zur Förderung eines fairen Datenmarktes. Zudem sind Regelungen für den Austausch von Informationen im B2B Bereich enthalten. Gerade im B2B Bereich soll der DA einen fairen Wettbewerb ermöglichen. Hierzu bedient sich der Gesetzgeber dem bereits aus anderen Rechtsgebieten bekannten FRAND-Prinzip (fair reasonable and non discriminatory), wenn es um das Teilen von Daten geht. In diesem Zusammenhang wird auch geregelt, dass bestimmte Behörden im Falle eines öffentlichen Notstandes die unentgeltliche Weitergabe von Daten gegenüber Dateninhabern verlangen kann.
Insgesamt ist für die Anwendbarkeit nicht erforderlich, dass es sich um Unternehmen mit Niederlassung innerhalb der EU handelt. Es genügt, wenn Dateninhaber Datenempfängern Daten innerhalb der EU bereitstellen.
Im Folgenden sollen die einzelnen Kernthemen zusammengefasst werden, um einen Überblick über die eigene Betroffenheit zu verschaffen.
Datenweitergabe B2C und B2B
Der DA setzt sich zum einen die Förderung der Datennutzung von Verbrauchern zum Ziel. Andererseits wird aber auch der Datenaustausch zwischen Unternehmen adressiert.
Hauptregelungsgegenstand sind sog. vernetzte Produkte und verbundene Dienste.
Nutzer sollen standardmäßig einfach, sicher und unentgeltlich auf die gesammelten Daten eines vernetzten Produkts, die sie durch ihre Nutzung mitentwickeln, zugreifen können. Vernetzte Produkte sind zum Beispiel: Autos mit Internetzugang, medizinische oder Fitnessgeräte und viele mehr. Gleiches gilt für verbundene Dienste, wie zum Beispiel externe Geräte, die Daten eines anderen Gerätes sammeln (z.B. ein Gerät, das an eine Waschmaschine angeschlossen wird und Daten der Waschmaschine sammelt, auswertet und entsprechend die Waschmaschine auf umweltschonende Einstellungen konfiguriert).
Der sachliche Anwendungsbereich erschöpft sich nicht nur auf personenbezogene Daten, sondern vielmehr auch auf alle Daten, insbesondere Metadaten. Um zu dem vorherigen Beispiel zurückzukehren: erfasst sind auch Daten, die ein Sensor sammelt (Temperatur, Druck und viele mehr). Der persönliche Anwendungsbereich differenziert zwischen Unternehmensgrößen, sodass zum Beispiel grundsätzlich Kleinstunternehmen von den zuvor beschriebenen Verpflichtungen nicht betroffen sind.
Anbieter solcher Produkte, oder Dienstleistungen, müssen den in Artikel 3 Abs. 2 u. 3 DA näher dargelegten Informationspflichten nachkommen.
Pflichten der Dateninhaber, die nach EU-Recht zur Datenbereitstellung (B2B) verpflichtet sind
Unternehmerische Dateninhaber, die nach Unions- oder nationalem Recht verpflichtet sind, Daten mit anderen Unternehmen zu teilen, werden im dritten Kapitel des DA adressiert. Der EU-Gesetzgeber möchte so die Compliance dieser Verpflichtungen stärken und den verpflichteten Unternehmen die Möglichkeit einer Kompensation darbieten.
In dieser Beziehung gilt das FRAND Prinzip. Das heißt, die zur Bereitstellung verpflichteten Unternehmen müssen die Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitstellen.
Auch hier werden zum Beispiel Kleinstunternehmen besonders geschützt, indem die mögliche Kompensation auf die Kosten der Bereitstellung begrenzt wird. Andererseits darf auch eine Marge verlangt werden.
Missbrauchsverbot bei B2B Datenzugang und Datennutzung
Sofern ein Unternehmen einem anderen einseitig Vertragsklauseln auferlegt, müssen diese einer Missbrauchskontrolle standhalten. Tun sie dies nicht, so sind sie für das andere Unternehmen nicht bindend. Der Vertrag bleibt dann jedoch in der Regel im Übrigen wirksam. Nach dem DA gilt eine Klausel dann als einseitig auferlegt, wenn sie von der einen Partei eingebracht wurde und trotz des Versuchs der anderen Partei, über den Inhalt der Klausel zu verhandeln, diese Mühen keinen Einfluss haben. Hier ist Vorsicht geboten, da diejenige Vertragspartei, die die Klausel eingebracht hat, beweisen muss, dass kein einseitiges Auferlegen vorliegt. Es dürfte also angebracht sein, die Verhandlung über die einzelnen Vertragsbestandteile zu dokumentieren und sich dies von der anderen Partei bestätigen zu lassen.
Unberührt von der Missbrauchskontrolle sind indes Klauseln, die den Hauptgegenstand des Vertrages festlegen, sowie Klauseln, die den Preis einer Datenweitergabe betreffen.
Pflicht zur Weitergabe von Daten an öffentliche Stellen bei außergewöhnlicher Notwendigkeit
Gleichzeitig stärkt die EU mit dem DA auch die Eingriffsbefugnisse der Europäischen Kommission, Europäischen Zentralbank oder Einrichtungen der Union. Bei außergewöhnlicher Notwendigkeit sollen die vorgenannten Stellen in der Lage sein, schnell und sicher an Daten zu kommen, sofern dies ausnahmsweise notwendig sein sollte.
Dateninhaber können daher künftig unter Umständen dazu verpflichtet sein, Daten herauszugeben.
Auslöser kann zum einen ein öffentlicher Notstand sein, wie zum Beispiel von Menschen oder der Natur hervorgerufene Katastrophen, Pandemien und auch Cybersecurity-Vorfälle.
Der Auslöser muss aber nicht zwingend von einem solchen Ausmaß sein. Erfasst seien zum Beispiel auch GPS-Daten von Autos, sofern sie für eine effiziente Ampelschaltung erforderlich sind. Zu beachten ist allerdings, dass aufgrund der geringeren Voraussetzungen hiervon nur nicht personenbezogene Daten erfasst werden.
Auch insofern kommt eine Kompensationszahlung durch die öffentlichen Stellen in Betracht. Bei der Weitergabe von Daten im Falle eines öffentlichen Notstandes kann das Unternehmen auch verlangen, dafür durch die Behörde öffentlich Anerkennung zu bekommen.
Interoperabilität (Datenverarbeitungsdienste)
Auch mit dem DA bleibt die EU ihrer Linie zur Implementierung nutzerfreundlicher Standardisierungen treu (vgl. USB-C, Übernahme von Handydaten bei Wechsel von iPhone auf Android). Nun adressiert der DA Anbieter von Datenverarbeitungsdiensten (hier Cloud-Dienstleister) mit dem gleichen Ziel. Künftig müssen solche Anbieter dafür sorgen, dass ihre Kunden insgesamt ohne große Schwierigkeiten den Anbieter wechseln können. Das bezieht sich nicht nur auf etwa technische Prozesse, sondern auf rechtlicher Ebene auch auf Klauseln bezüglich des Kündigungsrechts. Auch die Informationspflichten der Anbieter werden hiermit zu Gunsten der Nutzer erweitert.
Schutz vor unrechtmäßiger Übermittlung von Daten an Drittstaaten, oder Datenzugriff durch Drittstaaten
Mit dem DA sollen auch Übergriffe aus internationalem Umfeld und von Drittstaaten verhindert werden. Anbieter von Datenverarbeitungsdiensten sind daher dazu angehalten, Maßnahmen zu ergreifen, um etwaige Übergriffe zu verhindern.
Interoperabilität (Datenräume)
Auch auf anderer Ebene geht die EU einen weiteren Schritt in Richtung Standardisierung. Diesmal nicht zum Schutz der Nutzer, sondern zur allgemeinen Erleichterung der Interoperabilität von Datenräumen.
Durchsetzung
Die einzelnen Mitgliedsstaaten richten, sofern erforderlich, neue Behörden zur Durchsetzung der Regelungen des DA ein. Alternativ erweitern sie den Aufgabenkreis bereits bestehender Behörden.
Dem Durchführungsgesetz-DA ist zu entnehmen, dass die deutsche Behörde die Bundesnetzagentur (BNetzA) werden wird.
Justyna Rulewicz
RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)
Piotr Stojgniew Maluszczak
RECHTSANWALT/WIRSTSCHAFTSMEDIATOR
