Daten sind zunehmend bedeutend für Wirtschaft und Gesellschaft. In dem Kompass Beitrag „Data Act und Data Governance Act – quo vadis?“ gaben wir einen ersten Überblick über den Verordnungsentwurf des „Data Act“. Am 14.03.23 beschloss nun das Europäische Parlament seine Änderungsvorstellungen gegenüber dem Kommissionsentwurf. In Teil 1 unseres zweiteiligen Beitrags beschreiben wir die Grundidee und den Anwendungsbereich des Data Act-Entwurfs – und was Hersteller „smarter“ Produkte erwartet.
Welche Grundidee hat der Data Act?
Der Data Act-Entwurf geht von folgender Ausgangslage aus: Ein Nutzer nutzt ein Produkt oder einen damit verbundenen Dienst, das bzw. der Daten aggregiert. Diese Daten werden regelmäßig im Herrschaftsbereich einer anderen Person – dem Dateninhaber – gespeichert. Der Data Act-Entwurf regelt die Bereitstellung dieser Daten durch den Dateninhaber für den Nutzer, für Dritte und für öffentliche Stellen.
Ein Beispiel: Ein Verbraucher (der Nutzer) nutzt einen autonomen Saugroboter mit integrierter Kamera (das Produkt) in seinem Wohnraum. Der Saugroboter erhebt Daten über den Wohnraum (z.B. Kartografie-Daten und Bilddaten). Diese Daten werden im Herrschaftsbereich des Herstellers des Saugroboters (der Dateninhaber) kontrolliert. Der Data Act bezweckt, dass die Daten an den Verbraucher (den Nutzer) und z.B. seine Hausratsversicherung (einen Dritten) sowie öffentliche Stellen bereitgestellt werden.
Was bedeutet das für Unternehmen?
Tritt der Data Act in Kraft, müssen Unternehmen, die als Dateninhaber einzustufen sind, technische und vertragliche Maßnahmen treffen, um die Daten dem Nutzer, Dritten und öffentlichen Stellen bereitstellen zu können. Dasselbe gilt auch für Unternehmen, die als Dritte auf Anweisung des Nutzers Daten von Dateninhabern erlangen möchten.
Es können sich also komplexe Wechselwirkungen zwischen EU Datenschutz-Grundverordnung (DSGVO) und dem Data Act ergeben. Daher dürfte es sinnvoll sein, das Verhältnis der beiden Rechtsakte im weiteren Gesetzgebungsverfahren zu regeln.
Welche Unternehmen fallen als Dateninhaber unter den Data Act?
Wann ein Unternehmen Dateninhaber i.S.d. Data Act ist, definieren der Entwurf der Kommission und der Entwurf des Parlaments unterschiedlich. Der Entwurf der Kommission stellt für die Eigenschaft als Dateninhaber darauf ab, wer die Kontrolle über die technische Konzeption eines Produkts oder verbundenen Dienstes hat und die Datenspeicherung technisch-faktisch kontrolliert.
Nach dem Parlamentsentwurf dagegen sind Dateninhaber im Wesentlichen alle juristischen oder natürlichen Personen, die
- auf Daten aus dem Produkt zugegriffen oder bei der Erbringung eines verbundenen Dienstes Daten erzeugt haben und
- die das vertraglich vereinbarte Recht haben, diese Daten zu nutzen.
Trotz dieser Unterschiede wäre nach beiden Ansätzen in der Praxis typischerweise der Hersteller „smarter“ Gegenstände (wie der autonome Saugroboter) als Dateninhaber einzuordnen.
Welche Produkte und Dienste fallen unter den Data Act?
Damit ein Hersteller „smarter“ Gegenstände Dateninhaber ist, muss zudem ein (vernetztes) Produkt oder ein verbundener Dienst i.S.d. Data Act-Entwürfe vorliegen:
- Produkt soll ein körperlicher Gegenstand sein, der Daten über seine Nutzung erhebt und diese übermitteln kann und dessen Hauptfunktion nicht die Speicherung und Verarbeitung von Daten (Kommission) bzw. die Speicherung, Verarbeitung und Übertragung von Daten im Namen Dritter (Parlament) ist. Ein autonomer Saugroboter zum Beispiel dürfte diese Definition erfüllen.
- Verbundene Dienste sollen in das Produkt integrierte oder mit diesem verbundene und für dessen Funktionsweise notwendige digitale Dienste sein. Dabei setzt der Parlamentsentwurf zudem voraus, dass die Dienste den Zugriff des Anbieters oder Dienstes auf Daten des vernetzten Produkts umfassen.
Nicht unter den Data-Act-Entwurf fallen damit reine Online-Dienste. Nach dem Kommissionsentwurf ebenfalls nicht umfasst ist der Zugang zu Daten von Produkten, deren primärer Zweck es ist, Inhalte anzuzeigen, abzuspielen, aufzuzeichnen und zu übertragen, wie bZ. PCs oder Smartphones. Der Parlamentsentwurf sieht einen solchen pauschalen Anschluss der Daten solcher Geräte hingegen nicht vor.
Im zweiten Teil dieses Beitrags erfahren Sie, welche Pflichten Unternehmen treffen, die als Dateninhaber einzustufen sind. Welche Maßnahmen sollten sie ergreifen? Und was sollten Unternehmen beachten, die als Dritte Daten erhalten möchten? Lesen Sie in Kürze mehr.
