Das EU-Datengesetz (Data Act): Relevanz für Unternehmen – Internet der Dinge und darüber hinaus

Die EU-Institutionen haben am 27. Juni 2023 eine politische Einigung über das Datengesetz (sog. Data Act) getroffen. Am 9. November 2023 wurde der Data Act vom Europäischen Parlament angenommen.

Der Data Act – eine EU-Verordnung und als solche in allen EU-Staaten direkt anwendbar – sieht harmonisierte Regeln für den „fairen Zugang zu und die Nutzung von Daten“ vor. Anders als die DSGVO ist er nicht auf personenbezogene Daten beschränkt. Ziel ist es, diese Daten wirtschaftlich nutzbar zu machen.

Schon jetzt ist klar, dass das Gesetz weit über die Regulierung des „Internet der Dinge“ (IoT) hinausgehen wird. Es betrifft insbesondere so genannte „connected products“ und Cloud Dienste.

Nachfolgend geben wir einen ersten Überblick auf Basis der politischen Einigung. Da die Diskussionen über den Data Act europaweit erfolgen – auch innerhalb vieler Unternehmen grenzüberschreitend – verwenden wir im Folgenden auch die englischen Begriffe aus dem Data Act.

DATA SHARING (Datenweitergabe): Sogenannten data holdern (Dateninhabern) werden weitreichende Pflichten auferlegt, insbesondere Bereitstellungs- und Zugangspflichten in Bezug auf Nutzerdaten.

Daten von connected products (vernetzten Produkten) oder related services (verbundenen Diensten) müssen unter Umständen mit dem Nutzer oder einem Dritten (Datenempfänger) geteilt werden. Damit sollen die Rechte der Nutzer im Verhältnis zum data holder gestärkt werden. Zudem sollen Anreize für neue Akteure geschaffen werden, in die Datenwirtschaft zu investieren.

connected products und related services müssen anhand der Vorgaben aus dem Data Act gestaltet werden („Access by Design“). Das Gesetz verlangt von den data holdern außerdem, dass sie Daten aus connected products oder related services unentgeltlich und gegebenenfalls kontinuierlich in Echtzeit zugänglich machen.

Bislang sind viele connected products und related services nicht in diesem Sinne konzipiert, weshalb der Data Act und seine Pflichten künftig von Anfang an in der Produktentwicklung mitgedacht werden müssen.

Umgekehrt dürfen data holder nicht-personenbezogene Daten nicht mehr völlig frei mit anderen Akteuren – etwa zu Werbezwecken – teilen. Insoweit wird das Recht zur Datenweitergabe grundsätzlich auf das zur Erfüllung des Nutzervertrags erforderliche Maß eingeschränkt. Eine darüberhinausgehende Weitergabe von nicht-personenbezogenen Daten kann künftig einen Datenlizenzvertrag erfordern. Dies betrifft voraussichtlich auch Alt-Datenbestände.

Kleine und mittelständische Unternehmen sind in der Regel von den Verpflichtungen zur gemeinsamen Nutzung von Daten befreit (weniger als 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz).

Missbräuchliche Vertragsklauseln: Die Vorschriften gegen missbräuchliche Vertragsklauseln (Kapitel IV) sollen den Missbrauch von vertraglichen Ungleichgewichten verhindern. Dabei führt das Gesetz ein Verbot missbräuchlicher Klauseln in B2B-Verträgen ein und orientiert sich in der Regelungstechnik am AGB-Recht. Neben einer Generalklausel sind im Data Act auch (nicht abschließende) Regelbeispiele für missbräuchliche Klauseln enthalten. Darunter fallen beispielsweise Regelungen, die die Haftung für die Qualität der zur Verfügung gestellten Daten einschränken. Darüber hinaus können ausschließliche Nutzungsrechte an Daten, die einseitig auferlegt werden, problematisch sein. Unterstützend sollen in diesem Rahmen von der Europäischen Kommission Mustervertragsklauseln veröffentlicht werden, an denen sich Unternehmen orientieren können.
Daten für den öffentlichen Sektor: in Notlagen, beispielsweise bei Naturkatastrophen, müssen öffentlichen Stellen (public sector bodies) Daten, die zur Bewältigung der Notlage erforderlich sind, bereitgestellt werden.
Regulierung von Datenverarbeitungsdiensten, insbesondere von Cloud-Diensten: Der Data Act will den Wechsel zwischen gleichartigen „data processing services“ erleichtern (Kapitel VI). Unter den generischen Begriff „data processing services“ fallen u. a. Software as a Service (SaaS), Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Diese Vorschriften sollen den EU-Cloud-Markt aufbrechen und die Portabilität von Daten zwischen Cloudanbietern zu erleichtern. Geregelt werden sehr detailliert vor allem technische und organisatorische Maßnahmen, aber auch vertragliche Details. So ist beispielsweise eine Höchstgrenze für Kündigungsfristen vorgesehen. Weiter müssen Schnittstellen zur Datenübertragung beim Export von Daten zwischen verschiedenen Anbietern von Cloud-Diensten geschaffen werden. Neben diesen sehr detaillierten Vorgaben im Einzelfall findet sich aber auch ein - jedenfalls nach dem Wortlaut – nahezu uferlos anmutendes Verbot von Hindernissen für einen Wechsel („Insbesondere dürfen Anbieter von Datenverarbeitungsdiensten keine vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse aufzwingen und müssen solche Hindernisse beseitigen“). Ausnahmen gelten für „custom-built“ data processing services.
Internationale Datenübermittlung und Interoperabilität: Auch der internationale Datentransfer wird eigens geregelt, um den unrechtmäßigen Zugriff ausländischer staatlicher Stellen auf nicht-personenbezogenen Daten zu verhindern (Kapitel VII). Die Vorgaben sind aber nicht mit den Bestimmungen der DSGVO zu Datenübermittlungen an Drittländer identisch. Daneben sind Regelungen zur Interoperabilität vorgesehen (Kapitel VIII).

Last-Minute Änderungen von Definitionen

Der Gesetzgebungsprozess für das Gesetz begann Anfang 2022. Es gab noch in der Schlussphase des Gesetzgebungsprozesses wesentliche Änderungen, sogar bei Bestimmungen wie den Definitionen von „connected product“ und „related services“. Diese sind aber elementar für den Anwendungsbereich des Gesetzes, konkret: für die Bestimmung, wer als „data holder“ (Dateninhaber) gilt und somit von zahlreichen Verpflichtungen betroffen ist. Der erste Entwurf der Europäischen Kommission schloss noch Geräte wie PCs, Smartphones und Spielkonsolen aus. In der politischen Einigung, die nun erzielt wurde, sind sie nicht mehr ausgeschlossen.

Die Definition des Begriffs „connected product“ („vernetztes Produkt") lautet nun wie folgt (wir geben aufgrund der Ambiguität der verwendeten Begriffe hier den englischen und den deutschen Originalwortlaut wieder):

‘connected product’ means an item that obtains, generates or collects data concerning ist use or environment and that is able to communicate product data via an electronic communications service, physical connection or on-device access, and whose primary function is not the storing, processing or transmission of data on behalf of any party other than the user;

‚vernetztes Produkt‘ [bezeichnet] einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist;

‘related service’ means a digital service, other than an electronic communications service, including software, which is connected with the product at the time of the purchase, rent or lease in such a way that its absence would prevent the connected product from performing one or more of its functions, or which is subsequently connected to the product by the manufacturer or a third party to add to, update or adapt the functions of the connected product;

‚Verbundener Dienst‘ einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen;

Geschäftsgeheimnisse immer noch wenig geschützt

Die Verpflichtung zur Weitergabe von Daten kann sich sogar auf Geschäftsgeheimnisse erstrecken, obwohl es auch im Laufe des Gesetzgebungsverfahrens noch einige Änderungen gegeben hat. Auffällig ist dabei, dass der Schutz von Geschäftsgeheimnissen schwächer ausgeprägt zu sein scheint als unter der DSGVO. Der Schutz von Geschäftsgeheimnissen umfasst im Grundsatz einen mehrstufigen Mechanismus: Die relevanten Daten müssen vom data holder bzw. trade secret holder zunächst als Geschäftsgeheimnis identifiziert werden. Sodann sollen die Akteure der Datenweitergabe vertragliche, technische und organisatorische Maßnahmen vereinbaren, mit denen die Vertraulichkeit der zu übermittelnden Geschäftsgeheimnisse gewährleistet wird. Hierfür sollen künftig auch Standardvertragsklauseln bereitstehen. Nach der Vereinbarung von Schutzmaßnahmen müssen grundsätzlich auch Geschäftsgeheimnisse weitergegeben werden. Unklar ist, wie ein data holder diese Schutzmaßnahmen in der Praxis gegenüber den Empfängern der Daten, also typischerweise den eigenen Nutzern oder beauftragten dritten Unternehmen, durchsetzen soll. Die Weitergabe von Geschäftsgeheimnissen kann grundsätzlich nur ausgesetzt werden, wenn keine Einigung über die zu ergreifenden Schutzmaßnahmen erzielt, oder diese vom Empfänger der Daten unzureichend umgesetzt werden. Letzteres wird aber häufig mit einer Kompromittierung der Geschäftsgeheimnisse einhergehen. Jede Entscheidung über die Aussetzung der Datenweitergabe muss vom data holder begründet und der zuständigen Behörde gemeldet werden.

Der data holder kann die Weitergabe von Geschäftsgeheimnissen im Einzelfall zudem unter außergewöhnlichen Umständen ex ante verweigern, wenn er nachweist, dass ihm durch die Offenlegung des Geschäftsgeheimnisses mit hoher Wahrscheinlichkeit ein ernsthafter Schaden entsteht – auch in diesem Fall muss der data holder jedoch nicht nur den Nutzer über die Verweigerung informieren, sondern auch die zuständige nationale Behörde. Die Schwelle zum Verweigerungsrecht („highly likely to suffer serious economic damage“) wurde zuletzt etwas abgeschwächt, ist aber nach wie vor sehr hoch. Dies ist aus Sicht des data holders bzw.trade secret holders bedauerlich, könnte dieses ex ante Recht in vielen Fällen doch effektivste Möglichkeit sein, eine Offenlegung von Geschäftsgeheimnissen von vornherein zu verhindern.

Was ist mit der DSGVO?

Anders als die DSGVO gilt der Data Act sowohl für personenbezogene als auch für nicht-personenbezogene Daten. Die DSGVO dient vornehmlich dem Schutz natürlicher Personen und schafft Rechtsgrundlagen für die Verarbeitung personenbezogener Daten. Der Data Act will hingegen in erster Linie den freien Datenverkehr nicht-personenbezogener Daten realisieren. Das Datengesetz lässt die DSGVO unberührt, d. h. für Fälle der Nutzung eines connected products oder eines related services, wobei auch personenbezogene Daten erzeugt werden, gelten beide Gesetze nebeneinander.

Insbesondere will der Data Act den Schutz, den die DSGVO für personenbezogene Daten bietet, nicht herabsetzen, und kann daher auch nicht als Rechtsgrundlage für die Datenverarbeitung gemäß der DSGVO dienen. In der Praxis wird dies wahrscheinlich mehr Schwierigkeiten bereiten, als es auf den ersten Blick scheint, insbesondere wenn ein connected product oder ein related service personenbezogene und nicht-personenbezogene Daten sammelt - in diesem Fall müssen die letzteren möglicherweise weitergegeben werden, die ersteren jedoch nicht (soweit es sich um andere Personen als den Nutzer handelt) oder nicht ohne weiteres: Hier stellt sich dann jedenfalls die Frage, ob eine Rechtsgrundlage i.S. der DSGVO eine Weitergabe erlauben würde. Dies kann data holder künftig vor schwierige Situationen stellen. Sie müssen nun klarer als bisher entscheiden, welche Daten tatsächlich Personenbezug haben: Für diese ist ggf. eine Herausgabe nicht verpflichtend, für Daten ohne Personenbezug aber schon. Nicht einfacher wird dies, da es sich bei Daten von connected products oft um solche mit „relativem“ Personenbezug handeln wird – und die Frage des relativen Personenbezugs liegt gerade dem EuGH vor.

Zu Diskussionen kann es auch kommen bei der Frage, ob sich Inhaber von Geschäftsgeheimnissen darauf berufen können, dass die DSGVO deren Interessen durchaus stärker zu gewichten scheint als der Data Act.

Zeitplan

Nach der Annahme durch das Europäische Parlament muss nun noch der Rat zustimmen.

Im Anschluss an die Annahme wird der Data Act nach einer Übergangsfrist von etwa 20 Monaten in allen EU-Mitgliedstaaten unmittelbar anwendbar sein, ohne dass es der mitgliedstaatlichen Umsetzung der Regelungen bedarf. Die sog. „Access by Design“ Pflicht, also die Vorgabe zur Gestaltung von (neuen) connected products und related services, greift erst nach weiteren 12 Monaten. Abgesehen von dieser „Access by Design“ Pflicht sind vom Data Act aber nicht nur neue connected products bzw. related services betroffen, sondern – jedenfalls im Grundsatz – auch bereits im Markt befindliche. Damit dürften potenziell auch Inhaber von Alt-Datenbeständen bzw. vorhandenen Datensilos den neuen Regeln, insbesondere den Datenbereitstellungspflichten und den Einschränkungen in der Datennutzung (Stichwort: Datenlizenzvertrag), unterfallen. Gerade für solche potenziellen data holder könnte die Zeitspanne von 20 Monaten recht knapp ausfallen, um sich ausreichend auf die Verpflichtungen des Data Act vorzubereiten.