In Teil 1 unseres Artikels zeigten wir die Grundidee des Data Act-Entwurfs und welche Unternehmen nach dem Verordnungsentwurf Dateninhaber sind. In Teil 2 beleuchten wir nun, welche Maßnahmen Unternehmen treffen sollten, die als Dateninhaber einzustufen sind. Und wir klären auf, was Unternehmen beachten sollten, die als Dritte Daten vom Dateninhaber erhalten möchten.
Welche Pflichten hat ein Dateninhaber?
Falls ein Unternehmen als Dateninhaber einzustufen ist, löst dies nach den vorliegenden Data Act-Entwürfen zahlreiche Pflichten im Umgang mit Daten aus. Nennenswert sind vor allem:
- Datenzugang „by default“: Laut Kommissionsentwurf müssen Produkte wie folgt konzipiert und hergestellt werden: Die Daten, die bei ihrer Nutzung erzeugt werden, müssen standardmäßig für den Nutzer einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sein. Der Parlamentsentwurf geht darüber hinaus: Er fordert einen Datenzugang des Nutzers nicht erst, wenn dies „angemessen“ ist. Er fordert ihn bereits, wenn dies „technisch machbar“ ist.
- Bereitstellung von Daten für den Nutzer: Kann der Nutzer nicht direkt vom Produkt auf die Daten zugreifen, muss der Dateninhaber ihm die Daten unverzüglich kostenlos und ggf. kontinuierlich und in Echtzeit zur Verfügung stellen. Der Dateninhaber soll sich nicht darauf berufen können, dass die gesammelten Daten Teil einer nach dem Urheberrechtsgesetz geschützten Datenbank seien.
- Bereitstellung von Daten für Dritte: Auf Verlangen des Nutzers muss der Dateninhaber die Daten auch Dritten unverzüglich, für den Nutzer kostenlos und ggf. kontinuierlich und in Echtzeit bereitstellen. Ausnahme: Unternehmen, die zentrale Plattformdienste erbringen. Diesen dürfen die Daten nicht bereitgestellt werden.
- Bereitstellung von Daten für öffentliche Stellen: Unter bestimmten Voraussetzungen muss der Dateninhaber öffentlichen Stellen oder Stellen der Union Daten bereitstellen, sofern sie das verlangen. Kleinst- und kleine Unternehmen sind hiervon ausgenommen.
Welche Daten muss der Dateninhaber bereitstellen?
Die Zugangseröffnungs- bzw. Bereitstellungspflicht des Dateninhabers betrifft zunächst bei der Nutzung eines Produktes/verbundenen Dienstes erzeugte Rohdaten. Dazu gehören laut Parlamentsentwurf auch Metadaten. Werden aus den Rohdaten heraus (etwa durch Berechnungen) neue Daten erzeugt, dann sind dies sog. abgeleitete Daten. Diese müssen Dateninhaber laut Kommissionsentwurf im Regelfall nicht bereitstellen. Nach dem Parlamentsentwurf gilt diese Ausnahme allerdings nur für Informationen, die durch „komplexe Algorithmen“ abgeleitet oder gefolgert wurden und sofern zwischen dem Nutzer und Dateninhaber nichts anderes vereinbart wurde.
Welche Maßnahmen sollten Dateninhaber treffen?
Die beschriebenen Pflichten machen für Dateninhaber eine Reihe von Maßnahmen erforderlich. Allein technische Voraussetzungen für die Datenbereitstellung zu schaffen, genügt dabei nicht.
Maßnahmen im Verhältnis zum Nutzer
Im Verhältnis zum Nutzer muss der Dateninhaber dem Produkt vorvertragliche Informationen beilegen, z.B. den Umfang der erzeugten Daten oder wie Nutzer auf Daten zugreifen können.
Nutzung des Produkts an Nutzerkonto knüpfen
Zudem muss der Dateninhaber bereits bei der Konzeption des Produkts beachten, dass er den Nutzer identifizieren muss. Das ist eine Herausforderung. Denn Dateninhaber sind regelmäßig die Hersteller des Produkts und mehrere Handelsstufen können zwischen ihnen und dem Endkunden liegen. Zudem mag ein Endkunde das Produkt auch verleihen oder dauerhaft jemand anderem überlassen. Die Nutzung des Produkts könnte man allerdings z.B. an ein Nutzerkonto knüpfen. So kann man zwischen verschiedenen Nutzern desselben Produkts differenzieren, z.B. bei Weitergabe an einen neuen Nutzer.
Für den Dateninhaber ist die mit einem Nutzerkonto einhergehende Vertragsbeziehung mit dem Nutzer auch aus einem weiteren Grund sinnvoll: Nach dem Data Act-Entwurf dürfen Dateninhaber bei der Nutzung eines Produkts erzeugte nicht personenbezogene Daten nur nutzen, wenn sie das mit dem Nutzer vertraglich vereinbart haben.
Vertraglich absichern
Unternehmen, die auf solche Daten angewiesen sind, müssen sich daher vertraglich absichern. Diese vertragliche Nutzungseinräumung zu nicht personenbezogener Daten ist etwas anderes als die Einwilligung zur Verarbeitung personenbezogener Daten nach der EU Datenschutz-Grundverordnung (DSGVO).
Im Vergleich zum Vorschlag der Kommission sieht der Parlamentsentwurf bei der vertraglichen Nutzungseinräumung zu nicht personenbezogene Daten einen höheren Schutz der Nutzer vor. So darf etwa die Nutzung des Produkts nach dem Parlamentsentwurf nicht an die Einräumung einer Daten-Nutzungsbefugnis geknüpft werden, sofern diese für das Funktionieren des Produkts nicht notwendig ist.
Maßnahmen im Verhältnis zum Dritten
Auch im Verhältnis zwischen Dateninhaber und Dritten, z.B. der Hausratsversicherung, die vom Saugroboter-Hersteller die Daten erlangen möchte, muss der Dateninhaber weitere Maßnahmen treffen. Einen technischen Zugang zu schaffen, reicht nicht. Die Daten für Dritte bereitzustellen erfordert den Abschluss eines Vertrags zwischen Dateninhaber und dem Dritten.
Bei der Vertragsgestaltung sind vor allem folgende Punkte zu beachten:
Datenzugang unter FRAND-Bedingungen
Die Daten sind zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise bereitzustellen. Zudem sieht der Entwurf eine Reihe von Klauseln vor, die gegenüber allen (Parlamentsentwurf) bzw. Kleinst-, kleinen und mittleren (Kommission) Unternehmen nicht verwendet werden dürfen. Hier würde der Data Act also ein neues Feld für vertragliche Inhaltskontrolle eröffnen.
Form der Datenbereitstellung
Die Daten sind in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format bereit zu stellen. Die Vertragsparteien sollten dies konkreter fassen und ggf. zu Format und Dokumentation der Datenstruktur ausdrückliche Regelungen treffen.
Gegenleistung
Für die Bereitstellung der Daten können Dateninhaber und Datenempfänger eine angemessene Gegenleistung vereinbaren. Ist der Datenempfänger ein Kleinst-, kleines oder mittleres Unternehmen, darf die vereinbarte Gegenleistung die Kosten der Bereitstellung der Daten für den Datenempfänger grundsätzlich nicht übersteigen. Letzteres gilt nach dem Parlamentsentwurf auch für gemeinnützige Forschungsorganisationen.
Geschäftsgeheimnisschutz
Geschäftsgeheimnisse müssen Dritten gegenüber nur soweit offengelegt werden, wie dies für den zwischen Nutzer und dem Dritten vereinbarten Zweck unbedingt erforderlich ist. Die Offenlegung kann zudem unter die Voraussetzung gestellt werden, dass der Dritte vertraglich vereinbarte Geheimschutzmaßnahmen getroffen hat.
Weitergabe der Daten/Konkurrenzprodukte
Der Dritte, der auf Verlangen des Nutzers Daten erhält, muss nach dem Data Act-Entwurf bestimmte Anforderungen beachten. Demnach darf er etwa die Daten nur begrenzt weitergeben und mittels der Daten kein Produkt entwickeln, das zu jenem des Dateninhabers im Wettbewerb steht. Inwiefern dies wirksam kontrolliert bzw. durchgesetzt werden kann, ist noch offen.
Zusätzlich erfolgt – zumindest nach deutschem Recht – bei der Vertragsgestaltung sowohl gegenüber dem Nutzer (Stichwort Nutzer-Account) als auch gegenüber dem Dritten eine allgemeine Kontrolle nach dem strengen Recht der Allgemeinen Geschäftsbedingungen, da es sich hier regelmäßig um Allgemeine Geschäftsbedingungen handeln wird.
Durchsetzung des Anspruchs auf Datenbereitstellung für Dritten
Unternehmen, die als Dritte auf Verlangen des Nutzers Daten eines Dateninhabers erhalten möchten, sollten auch beachten, dass sie keinen eigenen Anspruch auf Datenzugang gegen den Dateninhaber haben. Verweigert der Dateninhaber ihnen unberechtigt den Zugang zu den Daten, können sie nach dem aktuellen Entwurfsstand nicht aus eigenem Recht Klage erheben. Vielmehr soll allein der Nutzer aus dem Data Act einen Anspruch gegen den Dateninhaber auf Abschluss des oben behandelten Daten-Bereitstellungsvertrags mit dem Dritten haben.
Es ist fraglich, ob dieser Anspruch an den Dritten abgetreten oder von diesem im Rahmen einer Prozessstandschaft geltend gemacht werden kann. Sollten die Gerichte diesen Anspruch als höchstpersönlichen Anspruch ansehen – vergleichbar etwa mit dem Auskunftsanspruch nach Art. 15 DSGVO – dürfte das sowohl die Abtretung als auch die gewillkürte Prozessstandschaft ausschließen. Das würde bedeuten, dass der Data Act möglicherweise einen Teil seiner Durchschlagskraft verlöre.
Ausblick
Auf den Vorschlag der Kommission für einen Data Act hat nun das Europäische Parlament reagiert. Wenn auch der Rat der Europäischen Union seine Position festgelegt hat, werden die drei Institutionen im sog. Trilog über eine einheitliche Textfassung verhandeln.
Unternehmen, die als Dateninhaber in Frage kommen, sollten den weiteren Gesetzgebungsprozess aufmerksam verfolgen. Sie sollten vorausschauend prüfen, wie sie einen Datenzugang umsetzen könnten. Konzeptionelle Vorbereitungen sollten auch diejenigen Unternehmen treffen, die als Dritte künftig auf Daten von Nutzern zugreifen möchten. Denn sollte der Data Act-Entwurfs in Kraft treten, könnte es schnell gehen. Die Entwürfe von Kommission bzw. Parlament sehen eine Geltung bereits zwölf bzw. 18 Monate nach Inkrafttreten der Verordnung vor. Und dies ist – je nach Vorlauf in der Produktentwicklung – nicht viel Zeit.