Search for:

Im Februar 2020 stellte die Europäische Kommission die Europäische Datenstrategie für einen Datenbinnenmarkt vor. Vor allem will man das Potenzial der wachsenden Datenmengen für Innovationen nutzen. Der Data Act-Entwurf und der Data Governance Act sind Bestandteile dieser Strategie. Was regeln Data Act (Entwurf) und der Data Governance Act eigentlich? Und handelt es sich um die richtigen regulatorischen Schritte auf dem Weg zur Data Economy?

Die Europäische Kommission veröffentlichte am 23. Februar 2022 den Entwurf des Data Act.

Der Austausch von Daten bietet erhebliches Wertschöpfungspotential. Nichtsdestotrotz möchten Unternehmen ihre Daten schützen und nicht „einfach so“ teilen. Bis dato ist die Ausschöpfung von Daten auf den freiwilligen Austausch angewiesen, der von der Privatautonomie der Unternehmen bestimmt wird. Das liegt u.a. daran, dass es keine gesetzlichen Regelungen zur Datenhoheit gibt. Der Data Act-Entwurf könnte das nun grundlegend ändern. Der Entwurf beinhaltet rechtliche Rahmenbedingungen für den Datenzugang und die Datennutzung.

Der Data Act-Entwurf stellt klar, wer unter welchen Bedingungen Daten wirtschaftlich verwerten darf, vor allem i.Z.m. der Nutzung vernetzter Objekte. Sonderregelungen gibt es teilweise für Kleinst-, Klein- und mittlere Unternehmen sowie sog. „Gatekeeper“.

Für wen gilt der Data Act-Entwurf?

Der Data Act-Entwurf gilt für

  • Hersteller von Produkten und Erbringer verbundener Dienste, die in der EU in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste;
  • Dateninhaber, die Empfängern in der EU Daten bereitstellen;
  • Datenempfänger in der EU, denen Daten bereitgestellt werden;
  • öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU;
  • Anbieter von Datenverarbeitungsdiensten, die Kunden in der EU solche Dienste anbieten.

Was regelt der Data Act-Entwurf?

Der Verordnungsentwurf regelt v.a.

  • den Austausch nutzergenerierter Daten zwischen Unternehmen (B2B) und mit Verbrauchern (B2C), insbesondere Produktanforderungen für einen leichten und sicheren Datenzugang („access by design and by default“), vorvertragliche Informationspflichten, Datenzugangsansprüche der Nutzer gegen Dateninhaber, die Notwendigkeit einer Nutzungsvereinbarung zwischen Dateninhaber und Nutzer, die Datenübermittlung durch den Dateninhaber an Dritte auf Veranlassung des Nutzers und Pflichten Dritter (z.B. Zweckbindung);
  • Datenbereitstellungspflichten (z.B. Transparenz, Diskriminierungsverbot, technische Schutzmaßnahmen) sowie Anforderungen an entsprechende Gegenleistungen (z.B. Fairness, Angemessenheit);
  • die Kriterien für missbräuchliche Vertragsklauseln über die gemeinsame Datennutzung im B2B-Verhältnis, in dem eine Vertragspartei einem Kleinstunternehmen, kleinen oder mittleren Unternehmen eine Vertragsklausel einseitig auferlegt;
  • die Übermittlung von im Besitz von Unternehmen befindlichen Daten an öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der EU in Notsituationen;
  • den Wechsel zwischen Datenverarbeitungsdiensten (z.B. Cloud- und Edge-Computing) durch die Regulierung der vertraglichen Beziehungen zwischen Dienstleitern und Verbrauchern mittels der Einführung von Mindestanforderungen (z.B. Funktionsäquivalenz, Kompatibilität), einschließlich der schrittweisen Abschaffung von Wechselentgelten;
  • einzuhaltende Interoperabilitätstandards sowie Anforderungen an intelligente Verträge.

Die Europäische Kommission soll unverbindliche Mustervertragsbedingungen für Datenzugang und -nutzung bereitstellen und die EU Mitgliedstaaten sollen Vorschriften über Sanktionen bei Verstößen erlassen.

Seit Vorlage des Entwurfs gab es einige Kritik – z.B. , dass die genaue Zuordnung von Daten zu einzelnen Nutzern sowie das Zusammenspiel des Data Act mit dem Datenschutzrecht unklar bleibt. Unternehmen, die Daten nutzen oder kommerzialisieren, sollten die Entwicklung des Data Act-Entwurfs verfolgen. Z.B. kann der Data Act Auswirkungen auf Produktanforderungen, Nutzungsvereinbarungen, vorvertragliche Informationspflichten und Vertragsklauseln im B2B-Verhältnis haben.

Erfahrungsgemäß ist davon auszugehen, dass der Entwurf noch erhebliche Änderungen erfahren wird, bevor er erlassen wird. Zu rechnen ist hiermit voraussichtlich nicht vor 2024.

Für wen gilt der Data Governance Act?

Der Data Governance Act trat im Juni 2022 in Kraft und ist in den EU Mitgliedstaaten ab dem 24. September 2023 unmittelbar anwendbar. Er schafft Prozesse, Strukturen und einen Rechtsrahmen für die gemeinsame Nutzung von personenbezogenen und nicht-personenbezogenen Daten.

Der Data Governance Act gilt besonders für öffentliche Stellen sowie Datenvermittlungsdienste und altruistische Organisationen, die in der EU niedergelassen sind oder ihre Dienste in der EU anbieten. Im letzteren Fall ist ein Vertreter zu benennen.

Was regelt der Data Governance Act?

Die Verordnung regelt v.a.

  • die Wiederverwendung von geschützten Daten öffentlicher Stellen (z.B. geschäftliche Geheimhaltung, geistiges Eigentum Dritter, personenbezogene Daten), was keinen Anspruch auf Datenzugang darstellt;
  • die Datennutzung und -weitergabe durch Datenvermittlungsdienste, insbesondere ein Anmeldeerfordernis und Verhaltenspflichten (z.B. Neutralitätsgebot, Interoperabilitätsgebot, Diskriminierungsverbot, Transparenz);
  • das Konzept des Datenaltruismus sowie die Datennutzung und -weitergabe durch altruistische Organisationen, einschließlich ihrer Pflichten (z.B. Registrierung, Transparenz, Informationspflichten).

Die EU Mitgliedstaaten sollen Sanktionen bei Verstößen bis zum 24. September 2023 festlegen. In diesem Zusammenhang ist die für die Einhaltung des Data Governance Act national zuständige Behörde befugt z.B. Geldbußen zu verhängen oder die Erbringung des Datenvermittlungsdienstes auszusetzen. Unternehmen müssen daher prüfen, ob sie als Datenvermittlungsdienst einzustufen sind, um mögliche Sanktionen – z.B. wegen einer unterlassenen Anmeldung – zu vermeiden.

Der Data Governance Act enthält umfassende Regelungen zur Standardisierung des Teilens von Daten im Binnenmarkt. Kritisiert wird bisherv.a., dass die sehr umfangreichen Pflichten der einzelnen Akteure keinen Anreiz zum Datenteilen beinhalten. On top kommen zudem noch die (datenschutz-)rechtlichen Pflichten.

Richtige regulatorische Schritte aus Sicht der Data Economy?

Der Data Act-Entwurf und der Data Governance Act sind der Versuch, ein komplexes dynamisches Gebiet mit seinen Potentialen und Herausforderungen zu regeln. Man will vor allem die Balance zwischen der Gewährleistung der globalen Innovations- bzw. Wettbewerbsfähigkeit in der Zukunft und dem Streben nach Datensouveränität erreichen.

Die Europäische Kommission verspricht sich durch den regulierten Datenaustausch und -zugang bzw. die regulierte Datennutzung eine Umsatzsteigerung der Datenwirtschaft auf 550 Milliarden Euro bis 2025. Das entspräche 4 Prozent des gesamten BIP der EU. Außerdem plant sie, 2 Milliarden Euro u.a. in die Dateninfrastruktur zu investieren.

Eine Regulierungsverweigerung ist vor diesen Hintergründen nicht denkbar. Zweifelhaft ist aber, ob tatsächlich ausreichende Anreize für den Austausch und die Nutzung der Daten gesetzt werden – wenn man die umfangreichen Pflichten für private Akteure, die oft parallele Anwendung der Datenschutzgrundverordnung und steigende Compliance-Kosten bedenkt.

Der EU-Gesetzgeber dürfen daher Regulierungsansätze außerhalb des EU-Binnenmarktes und die Folgen für die Praxis nicht ignorieren. Vielmehr müssen sie diese bei den  Evaluierungsprozessen ernsthaft berücksichtigen und dann realpolitische Maßnahmen treffen.

Author

Nadine Neumeier ist Counsel bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern

Author

Aileen-Sophie Zengler ist Law Clerk bei Baker McKenzie Rechtsanwaltsgesellschaft mbH von Rechtsanwälten und Steuerberatern