Der EU Data Act

Die EU-Kommission hat am 23.02.2022 einen Entwurf einer neuen Verordnung zur Regelung des fairen Zugangs zur Nutzung von Daten („EU Data Act“) vorgestellt. Zusammen mit dem Data Governance Act, bilden beide Verordnungen die Hauptsäulen eines größeren Vorhabens der EU, nämlich eine neue europäische Datenstrategie.  

Als Ziele dieser neuen Strategie nennt die EU-Kommission unter anderem neue Chancen für Unternehmen zu eröffnen, die Entwicklung vertrauenswürdiger Technologien voranzutreiben und, eine offene und demokratische Gesellschaft und eine lebendige und nachhaltige Wirtschaft zu fördern. Es soll zudem eine ausgewogene Vereinbarung über eine gemeinsame Datennutzung der Akteure regeln, Hindernisse für den Wechsel zwischen wettbewerbsfähigen und vertrauenswürdigen Clouddiensten aus dem Weg räumen und gleichzeitig Anreize für Investitionen im digitalen Bereich schaffen.  

Das Ganze ist Teil der digitalen Ziele der Europäischen Union für 2030, wonach in der EU die Menschen und ihre Rechte in den Mittelpunkt des digitalen Wandels stehen, und der größtmögliche Nutzen aus dem digitalen Wandel zugunsten der Union gezogen werden soll.  

Im folgenden Beitrag soll ein erster Überblick über der EU Data Act verschafft werden. Wer ist von der neuen Verordnung betroffen, was wird geregelt und die ist das Verhältnis zur Datenschutz-Grundverordnung (DSGVO)? 

Anwendungsbereich 

Nach Art. 1 Abs. 1 EU-DA sind von der neun Verordnung drei Fallgruppen betroffen: 

• die Bereitstellung von Daten, die bei der Nutzung eines Produkts oder verbundenen Dienstes erzeugt werden 

• die Bereitstellung dieser Daten durch Dateninhaber für Datenempfänger 
• die Bereitstellung dieser Daten durch Dateninhaber für öffentliche Stellen oder Organe 

Der räumliche Anwendungsbereich (Art. 1 Abs. 2 EU-DA) gleicht dem des Art. 3 DSGVO, und richtet sich nach dem sog. Marktortprinzip. D.h. sie ist anwendbar, sofern das jeweilige Angebot auf den europäischen Markt gerichtet ist. Somit gilt der EU Dat Act für Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden, Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden und Datenempfänger in der Union, denen Daten bereitgestellt werden. 

Begriffsbestimmungen  

Zum besseren Verständnis der Verordnung ist es zunächst wichtig, einige Begriffe des EU Data Acts zu erläutern.  

„Nutzer“ im Sinne dieser Verordnung ist nach Art. 2 Nr. 5 EU-DA eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt. 

„Dateninhaber“ ist nach Art. 2 Nr. 6 EU-DA eine juristische oder natürliche Person, die berechtigt oder verpflichtet ist, bestimmte Daten an einem Datenempfänger bereitzustellen. Eine Person ist dabei Dateninhaber, wenn und soweit sie die Daten in der eigenen technisch-faktischen Herrschaftssphäre speichert oder die Datenspeicherung kontrolliert.  

„Datenempfänger“ ist nach Art. 2 Nr. 7 EU-DA ein Dritter, dem der Dateninhaber auf Verlangen des Nutzers Daten bereitstellt. 

Was regelt der EU Data Act? 

Der EU Data Act beabsichtigt unter anderem, einen neuen Rechtsrahmen zum besseren Verfügbarmachen von Daten zu bilden. Es ist geplant, vor allem Nutzern diejenigen Daten zugänglich machen, welche durch deren Verwendung überhaupt erst entstehen (sog. nutzergenerierte Daten). Solche Daten entstehen beispielsweise bei Verwendung von Produkten, die als Internet of Things (IOT) bezeichnet werden, also Fahrzeuge oder Haushaltsgeräte, die mit dem Internet verbunden sind und somit Daten online übertragen können. Der Zugang zu diesen vom Nutzer generierten Daten sollen darüber hinaus zugunsten von öffentlichen Stellen zugänglich gemacht werden, falls für die Datennutzung ein außergewöhnliches Bedürfnis besteht, um Aufgaben im öffentlichen Interesse durchführen zu können (z.B. während einer Pandemie). Darüber hinaus beinhaltet die Verordnung Regelungen zu Cloud-Services und deren Interoperabilität. 

Für die Nutzer ergeben hierzu verschiedene Vorteile. Zum einem müssen sie auf Daten zugreifen können, die durch ihre Nutzung des Produkts oder Dienstes generiert wurden. Zum anderen können sie verlangen, diese Daten einem Dritten zur Verfügung zu stellen. Hierzu müssen die betroffenen Unternehmen dafür sorgen, dass die Produkte so gestaltet sind, dass die Bereitstellung schnell, einfach und sicher möglich ist. 

Aufteilung in Unternehmenskategorien 

Der EU Data Act differenziert aber auch zwischen Unternehmensgrößen und teilt diese in Gruppen auf, siehe Art. 7 Abs. 1 EU-DA. Zu Klein- und Kleinstunternehmen zählen demnach Unternehmen, welche nicht mehr als 49 Beschäftigte haben und einen Jahresumsatz von höchstens EUR 10 Mio. erwirtschaften oder eine Bilanzsumme von max. EUR 10 Mio. aufweisen. Diese Aufteilung nach Bilanz und Mitarbeitergröße ergibt sich aus der EU-Empfehlung 2003/361/EG. Hieraus ergibt sich zugleich der sachliche Anwendungsbereich für die betroffenen Unternehmen. 

Dies ist unter anderem im Zusammenhang mit dem Kapitel IV der EU-DA von großer Bedeutung. Die Anforderungen dieses Kapitels gelten nämlich nicht für Produkte oder damit verbundene Dienstleistungen, die von Klein- und Kleinstunternehmen stammen. Denn um mehr Fairness zu gewährleisten, sollen Klauseln, die von einem Unternehmen gegenüber einem Klein- und Kleinstunternehmen aufgelegt werden, nicht bindend sein, wenn einer der Tatbestände in Art. 13 Abs. 3, 4 EU-DA greift. Eine Klausel ist nach der Definition des Art. 13 Abs. 2 EU-DA missbräuchlich: „[…] wenn ihre Verwendung gröblich von der guten Geschäftspraxis beim Datenzugang und der Datennutzung abweicht und gegen das Gebot von Treu und Glauben und des redlichen Geschäftsverkehrs verstößt.“  

Unter „unfair“ versteht die EU-Kommission in diesem Kontext einseitige Vertragsbedingungen mit Bezug zur Haftung, zum Schadensersatz, zu Auskunftspflichten, etc.  Um solche rechtswidrigen Vereinbarungen vorzubeugen, soll die EU-Kommission unverbindliche Mustervertragsbedingungen bereitstellen.  

Der EU Data Act privilegiert also Klein- und Kleinstunternehmen, indem sie vor größeren Unternehmen und deren Marktposition schützt. Außerdem sind Klein- und Kleinstunternehmen von den Pflichten in Kapitel II befreit. Dazu zählt z.B. die Pflicht der Zugänglichmachung von bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten gegenüber dem Nutzer. Ein weiterer Vorteil für Klein- und Kleinstunternehmen ist, dass Dateninhaber für die Weitergabe bzw. den Export der Daten der Nutzer an diese nur die tatsächlich entstandenen Kosten für die Verfügungstellung berechnen und nichts daran verdienen dürfen, vgl. Art. 9 Abs. 2 EU-DA. 

Verhältnis zur DSGVO 

Dem EU Data Act liegt ein sehr weiter Begriff von Daten zugrunde. Im Gegensatz zur DSGVO, die ausschließlich die Verarbeitung von personenbezogen Daten regelt, also die Daten natürlicher Personen, sind Daten nach Art. 2 Nr. 1 EU-DA „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“.   

Ein wesentlicher Unterschied zur DSGVO ist weiterhin, dass der EU Data Act auch für Hersteller digitalen Produkte anwendbar ist, und nicht nur für die „Verantwortlichen“ der Verarbeitung der Daten wie in der DSGVO. Denn beispielsweise bei der Prüfung nach Art. 25 DSGVO („Privacy by design & by default“) ist der Verantwortliche in der Pflicht, durch technische und organisatorische Maßnahmen sicherzustellen, dass die geplante Verarbeitung die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO im erforderlichen Maße berücksichtigt, und nicht der Hersteller der Software selbst wie im EU Data Act.  

Ähnlich wie in Art. 13 DSGVO müssen die Datenempfänger gewisse Informationspflichten gem. Art. 3 Abs. 2 EU-DA  erfüllen. Die Information gegenüber dem Nutzer muss demnach die Datenkategorien und den Umfang der Verarbeitung beinhalten, ob die Generierung von Daten dauerhaft und in Echtzeit erfolgt, wie der Nutzer auf seine Daten zugreifen und weitergeben kann. Das Recht der Nutzer auf Zugang zu seinen Daten gem. Art. 4 EU-DA deckt sich dabei mit dem Recht der Datenportabilität nach Art. 20 DSGVO.  

Im Übrigen ist der EU Data Act kein lex specialis gegenüber der DSGVO, d.h. die DSGVO findet uneingeschränkt Anwendung und der EU Data Act versteht sich als Ergänzung in Bezug auf solche Daten, die durch ein Produkt oder einen verbundenen Dienst eines Nutzers erzeugt werden, aber keinen Personenbezug enthalten. 

Besondere Regelungen für Cloud-Anbieter 

In Art. 23 ff. EU-DA („Wechsel zwischen Datenverarbeitungsdiensten“) wird die erleichterte Portabilität zwischen Cloud-Anbietern und ähnlichen Dienstleistern vorgegeben. Dies soll den Nutzern einen Anbieterwechsel bei der Nutzung von Cloud-Services erleichtern.  So muss der Anbieter bei einem Export der Daten des Nutzers sicherstellen, dass die Schnittstellen zu der Übertragung von Daten kompatibel sein müssen. Die Kündigung gegenüber dem Anbieter muss innerhalb von maximal 30 Tagen akzeptieren werden. Allerdings kann der Anbieter die Kosten der Übermittlung dem Nutzer in Rechnung stellen, wobei sich dies auf die tatsächlich anfallenden Kosten beschränkt.  

Kritik 

Es gibt jedoch auch Kritik am neuen Vorhaben. Der Hamburgische Datenschutzbeauftragte Thomas Fuchs stellt die gesamte neue europäische Datenstrategie in Frage, und sagt, der EU Data Act sei spannend und relevant, aber gleichzeitig eine Katastrophe. Das Zusammenspiel mit der DSGVO sei nicht vereinbar, Informationspflichten, das Beschwerderecht und die Sanktionen nicht deckungsgleich. Dass der EU Data Act keine Ausnahmeregeln zur DSGVO beinhaltet, würde die Umsetzung nur erschweren.  

Aus einem gemeinsamen Papier  des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD), der Stiftung Datenschutz und des Deutschen Industrie- und Handelskammertags (DIHK) geht unter anderem hervor, dass die Anwendbarkeit der beiden Verordnungen und vor allem der damit verknüpften Rollen von Datenverarbeitern sowie Betroffenen oft nicht klar abgrenzbar sind. Auch die Unterscheidung zwischen personenbezogene Daten und nutzergenerierten Daten lassen sich in der Praxis nicht ohne weiteres trennen.  

Dr. Thilo Weichert, Vorstandsmitglied der Deutschen Vereinigung für Datenschutz, begrüßt zum einem den Ansatz des EU Data Acts, sieht aber auch Probleme in der Umsetzung, da die Verordnung bisher nur sehr abstrakt formuliert sei. Dies würde die Harmonisierung mit der DSGVO erschweren. 

Fazit  

Der EU Data Act soll einen rechtlichen Rahmen für das Nutzen und Teilen von sog. nutzergenerierten Daten bilden, und ergänzt die DSGVO, sodass beide Verordnungen uneingeschränkt und parallel anwendbar sind. Grund dafür ist, dass die DSGVO die Verarbeitung personenbezogener Daten regelt, und der EU Data Act die von einer Person durch die Nutzung von Produkten, Software o.ä. erzeugten Daten. Bislang konnten Hersteller und Unternehmen frei über die Daten verfügen, die keinen Personenbezug aufweisen konnten, wie z.B. anonymisierte Daten. Dies wird sich mit Inkrafttreten der neuen Verordnung ändern, sodass auch Daten ohne Personenzug nicht mehr zu einer unkontrollierten Datenverarbeitung führen können. 

Privilegiert werden in diesem Regelwerk insbesondere Klein- und Kleinstunternehmen, indem Sie von Pflichten im Gegensatz zu mittleren und großen Unternehmen verschont bleiben. Vorteile für die Nutzer sind die dort geregelten Übertragungsrechte der eigenen generierten Daten an Dritte sowie auch den Zugang zu diesen Daten.  

Dennoch wird die parallele Anwendbarkeit des Datenschutzrechts in der Praxis für Probleme sorgen. Dies könnte unter anderem dazu führen, dass Hersteller und Unternehmen künftig aufgrund der Komplexität des Zusammenspiels beider Verordnungen von Anfang an auf die Erhebung von Daten verzichten. Dies könnte zu einem strategischen Nachteil für Unternehmen aus der EU im weltweiten Wettbewerb führen.