1. Was ist der Data Act? Mittels der europäischen Datenstrategie zielt die EU darauf ab, den Binnenmarkt an die Spitze einer datengesteuerten Gesellschaft zu bringen. Daten sollen innerhalb der Union sektorübergreifend zwischen allen Akteuren ungehindert fließen können. Der Data Act (DA-E) soll hierfür einen sektorübergreifenden Governance-Rahmen für die Datennutzung im Binnenmarkt schaffen. Dieser soll es ermöglichen, dass das Potenzial von IoT-Daten, welche durch vernetzte Produkte (z.B. vernetzte Fahrzeuge, Haushaltsgeräte, Konsumgüter, Smartwatches) generiert und gesammelt werden, im Binnenmarkt völlig ausgeschöpft wird. 2. Zusammenhang und Einordnung in europäische Gesetzgebung Der Data Act bildet zusammen mit dem Data Governance Act die Grundlage für einen europäischen Binnenmarkt für Datenaustausch. Während der Data Governance Act den freiwilligen und altruistischen Datenaustausch zwischen Akteuren in der Union erleichtert, regelt der Data Act den rechtlichen Rahmen für die wirtschaftliche Nutzung von Datensätzen, die durch die Nutzung von vernetzten Produkten generiert und erhoben werden. 3. Regelungsgehalt des Data Acts Damit eine umfängliche Nutzung der Daten stattfindet, sieht der DA-E vor, dass Daten von vernetzten Produkten zwischen den verschiedenen Akteuren geteilt werden. In diesem Zusammenhang werden Hersteller von vernetzten Produkten und Anbieter von damit verbundenen Dienstleistungen (Dateninhaber) dazu verpflichtet, die durch ihre Produkte generierte Daten an die Nutzer der Produkte oder an durch den Nutzer bestimmten Dritten (Datenempfänger) zu übermitteln. Darüber hinaus sieht der DA-E vor, dass der Wechsel zwischen Cloud-, Edge- oder ähnlichen Datenverarbeitungsdiensten für Nutzer erleichtert wird. Außerdem soll die Interoperabilität von Datenverarbeitungsdiensten in der Union verbessert werden, um die gemeinsame Datennutzung zu erleichtern. Zwar werden unmittelbar keine spezifischen Standards im DA-E vorgeschrieben. Der Entwurf sieht aber vor, dass Dienste (soweit möglich) mit offenen Standards und Schnittstellen kompatibel sein müssen. Ferner darf die Kommission durch Normungsorganisationen oder selber solche Standards festlegen. 4. Verhältnis zur DSGVO Aus verschiedenen Stellen des DA-E (Art. 1 Abs. 3 DA-E, EWG 7, 30, 38 und 78) ergibt sich, dass die Vorschriften der DSGVO durch den DA-E unberührt bleiben sollen. Der DA-E kann daher auch keine neue Rechtsgrundlage für eine Datenverarbeitung von personenbezogenen Daten bilden. So können im Rahmen des Datenaustausches im Falle von Daten mit Personenbezug nicht nur die Normen des DA-E, sondern auch die der DSGVO anwendbar sein. Vernetzte Produkte sind in der Lage, sowohl personenbezogene als auch nicht personenbezogene Daten zu generieren. Alle Daten, die durch ein solches Produkt generiert werden unterfallen zunächst dem Regime des DA-E. Parallel dazu bleibt in diesen Fällen die DSGVO uneingeschränkt anwendbar. Insbesondere dürfen personenbezogene Daten nur dann übermittelt werden, wenn auch eine Rechtsgrundlage für die Datenverarbeitung nach Art. 6 DSGVO bzw. Art. 9 DSGVO vorliegt. In der Praxis wird es für Unternehmen wichtig sein zu differenzieren, ob es sich bei den generierten Daten um personenbezogene oder nicht-personenbezogene Daten handelt. Denn sowohl Verstöße gegen den DA-E (bei unrechtmäßiger Versagung des Datenzugangs) als auch gegen die DSGVO (Datenverarbeitung ohne Rechtsgrundlage) können sanktioniert werden. Es bleibt festzuhalten, dass die parallele Anwendbarkeit der DSGVO neben dem DA-E nicht ohne Widerspruch ist. Denn die beiden Rechtsakte verfolgen grundsätzlich konträre Ziele: Während die DSGVO den Grundsatz der Datenminimierung verpflichtet ist, bezweckt der DA-E dessen Gegenteil, nämlich die Maxime der Mehrfachverwertung von vorhandenen Datensätzen. 5. Vertragsgestaltung hinsichtlich Datenzugang Dateninhaber wollen sich grundsätzlich nur ungern von ihren Daten trennen. Als „Rohstoff der Zukunft“ verfügen diese über einen erheblichen Wert. Die Sammlung und Generierung der Daten sind ihrerseits mit einem finanziellen und zeitlichen Aufwand verbunden. Verständlicherweise wollen nur die wenigsten diesen Rohstoff mit anderen Marktteilnehmer teilen. Trotz der Pflicht zur Gewährung des Datenzugangs wäre es denkbar, dass Dateninhaber deshalb diesen Zugang vertragstechnisch schwierig oder kostenintensiv für Datenempfänger gestalten. Um eine solche Monopolisierung der Daten durch den Dateninhaber zu vermeiden, beinhaltet der DA-E auch Regeln für die Ausgestaltung von Verträgen für den Datenzugang. Zwar soll es Parteien im Rahmen ihrer Vertragsautonomie noch möglich sein, die einzelnen Bedingungen eines solchen Vertrages auszuhandeln (EWG 39 DA-E). Die Verträge sollen aber einen minimalen status quo nicht unterschreiten. Datenzugangsverträge sollen fair, angemessen, transparent und nichtdiskriminierend sein (Art. 8 Abs. 3 DA-E). Dateninhaber sollen allen Unternehmen in einer vergleichbaren Kategorie den gleichen Zugang zu den Daten gewähren. Unterschiedliche Vertragsbedingungen sind nur erlaubt, wenn diese Unterschiede objektiv gerechtfertigt sind. Die Kommission soll in Zukunft Leitlinien dafür festlegen, unter welchen Umständen unterschiedliche Vertragsbedingungen zwischen Empfängern erlaubt sind (EWG 41 DA E). Weiter ist eine Vertragsklausel in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten gem. Art. 8 Abs. 3 DA-E nicht bindend, wenn sie eine missbräuchliche Klausel nach Art. 13 DA-E darstellt oder wenn sie die Ausübung der Rechte des Nutzers nach Kapitel II ausschließt, davon abweicht oder deren Wirkung abändert. Missbräuchliche AGB gem. Art. 13 DA-E liegen dann vor, wenn die einseitig durch den Dateninhaber auferlegte Klausel in der Lage ist, dass Interesse des Datenempfängers an den Daten objektiv zu beeinträchtigen und die Verwendung der Klausel gröblich von der guten Geschäftspraxis beim Datenzugang und Datennutzung abweicht und gegen das Gebot von Treu und Glauben verstößt oder wenn ein erhebliches Ungleichgewicht zwischen der Rechten und Pflichten der Vertragsparteien verursacht. In Art. 13 DA-E befinden sich auch Regelbeispiele für missbräuchliche Klauseln. Diese Auflistung ist nicht enumerativ und kann künftig von der Kommission ergänzt werden. Im Gegenzug haben Dateninhaber einen Anspruch auf eine angemessene Vergütung für die Bereitstellung von Daten. Diese Vergütung kann von einer bloßen Deckung für die unmittelbaren Kosten der Bereitstellung der Daten bis hin zu einer Gewinnmarge reichen. Die Parteien sollten bei Abschluss des Vertrages alle erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen treffen, um die Sicherheit und Integrität der Datenübermittlung zu gewähren. Von der Bereitstellung sind ferner Daten ausgenommen, die unter das Geschäftsgeheimnis fallen. Es ist aber auch nicht auszuschließen, dass zumindest Gruppen von Dateninhabern zugleich einen Data-Sharing untereinander aufgeschlossener gegenüber aufgestellt sind. Erste Tendenzen in dieser Richtung sind z.B. im Automotive Bereich zu beobachten. 6. Ausblick Während der Data Act einen innovativen Impuls der Richtung einer datengesteuerten Gesellschaft darstellt, bleibt abzuwarten, inwieweit die EU dadurch eine Vorreiterstellung einnimmt. Im Rahmen der vielen neuen EU-Rechtsakte, wie z.B. dem AI Act oder dem Digital Services Act, nimmt der DA-E jedenfalls eine Sonderrolle ein, weil er weniger einen „Top Down“-Ansatz mit einer Vielzahl von Verboten verfolgt, sondern den Marktteilnehmern einen Anspruch zur Verfügung stellt, um das gewünschte Endziel – bessere Verwertung vorhandener Daten – zu erreichen. Weiter ist offen, ob der DA-E tatsächlich sein volles Potenzial entfalten wird oder ob ihn ein Mauerblümchendasein erwartet. Dies hängt ganz maßgeblich vom Verhalten der Markteinehmer ab. Denn nur wenn die Dateninhaber ihre generierten Daten von dem mittelbaren Zugriff von potentiellen Dritten (Datenempfänger) tatsächlich schützen wollen, bedarf es des geschilderten Anspruchsmechanismus, um die Datenschätze (mit Gewalt) zu öffnen. Bewegt sich der Markt hingegen mehr in die Richtung einer Data-Sharing-Economy, erschöpft sich die Funktion des Herausgabeanspruchs an die Nutzer und dessen Recht an Weitegabe an Dritte auf die Inanspruchnahme von Serviceleistungen (beispielsweise die Weitergabe von KFZ-Daten an einer Reparaturwerkstatt). Denn in einer Data-Sharing-Economy, bei dem Dateninhaber und an dessen Daten interessierten Dritte (Datenempfänger) bilateral und freiwillig Daten-Austauschverträge abschließen, muss der Dritte nicht den mühsamen, mittelbaren Weg über den Nutzer einschlagen, um an die bestehenden Daten bei dem Inhaber zu kommen.

Data Act – Aufbruch in das Datenwirtschaftsrecht

Autoren:
Dr. Axel Freiherr von dem Bussche, LL.M. (LSE), CIPP/E – Partner bei der Kanzlei Taylor Wessing Partnerschaftsgesellschaft mbB, Fachbereich Technology, Media & Telecoms
Stephanie Richter, LL.M. (Torino), CIPP/E – Associate bei der Kanzlei Taylor Wessing Partnerschaftsgesellschaft mbB, Fachbereich Technology, Media & Telecoms

1. Was ist der Data Act?

Mittels der europäischen Datenstrategie zielt die EU darauf ab, den Binnenmarkt an die Spitze einer datengesteuerten Gesellschaft zu bringen. Daten sollen innerhalb der Union sektorübergreifend zwischen allen Akteuren ungehindert fließen können.

Der Data Act (DA-E) soll hierfür einen sektorübergreifenden Governance-Rahmen für die Datennutzung im Binnenmarkt schaffen. Dieser soll es ermöglichen, dass das Potenzial von IoT-Daten, welche durch vernetzte Produkte (z.B. vernetzte Fahrzeuge, Haushaltsgeräte, Konsumgüter, Smartwatches) generiert und gesammelt werden, im Binnenmarkt völlig ausgeschöpft wird.

2. Zusammenhang und Einordnung in europäische Gesetzgebung

Der Data Act bildet zusammen mit dem Data Governance Act die Grundlage für einen europäischen Binnenmarkt für Datenaustausch. Während der Data Governance Act den freiwilligen und altruistischen Datenaustausch zwischen Akteuren in der Union erleichtert, regelt der Data Act den rechtlichen Rahmen für die wirtschaftliche Nutzung von Datensätzen, die durch die Nutzung von vernetzten Produkten generiert und erhoben werden.

3. Regelungsgehalt des Data Acts

Damit eine umfängliche Nutzung der Daten stattfindet, sieht der DA-E vor, dass Daten von vernetzten Produkten zwischen den verschiedenen Akteuren geteilt werden. In diesem Zusammenhang werden Hersteller von vernetzten Produkten und Anbieter von damit verbundenen Dienstleistungen (Dateninhaber) dazu verpflichtet, die durch ihre Produkte generierte Daten an die Nutzer der Produkte oder an durch den Nutzer bestimmten Dritten (Datenempfänger) zu übermitteln.

Darüber hinaus sieht der DA-E vor, dass der Wechsel zwischen Cloud-, Edge- oder ähnlichen Datenverarbeitungsdiensten für Nutzer erleichtert wird. Außerdem soll die Interoperabilität von Datenverarbeitungsdiensten in der Union verbessert werden, um die gemeinsame Datennutzung zu erleichtern. Zwar werden unmittelbar keine spezifischen Standards im DA-E vorgeschrieben. Der Entwurf sieht aber vor, dass Dienste (soweit möglich) mit offenen Standards und Schnittstellen kompatibel sein müssen. Ferner darf die Kommission durch Normungsorganisationen oder selber solche Standards festlegen.

4. Verhältnis zur DSGVO

Aus verschiedenen Stellen des DA-E (Art. 1 Abs. 3 DA-E, EWG 7, 30, 38 und 78) ergibt sich, dass die Vorschriften der DSGVO durch den DA-E unberührt bleiben sollen. Der DA-E kann daher auch keine neue Rechtsgrundlage für eine Datenverarbeitung von personenbezogenen Daten bilden.

So können im Rahmen des Datenaustausches im Falle von Daten mit Personenbezug nicht nur die Normen des DA-E, sondern auch die der DSGVO anwendbar sein. Vernetzte Produkte sind in der Lage, sowohl personenbezogene als auch nicht personenbezogene Daten zu generieren. Alle Daten, die durch ein solches Produkt generiert werden unterfallen zunächst dem Regime des DA-E.  Parallel dazu bleibt in diesen Fällen die DSGVO uneingeschränkt anwendbar. Insbesondere dürfen personenbezogene Daten nur dann übermittelt werden, wenn auch eine Rechtsgrundlage für die Datenverarbeitung nach Art. 6 DSGVO bzw. Art. 9 DSGVO vorliegt.

In der Praxis wird es für Unternehmen wichtig sein zu differenzieren, ob es sich bei den generierten Daten um personenbezogene oder nicht-personenbezogene Daten handelt. Denn sowohl Verstöße gegen den DA-E (bei unrechtmäßiger Versagung des Datenzugangs) als auch gegen die DSGVO (Datenverarbeitung ohne Rechtsgrundlage) können sanktioniert werden.

Es bleibt festzuhalten, dass die parallele Anwendbarkeit der DSGVO neben dem DA-E nicht ohne Widerspruch ist. Denn die beiden Rechtsakte verfolgen grundsätzlich konträre Ziele: Während die DSGVO den Grundsatz der Datenminimierung verpflichtet ist, bezweckt der DA-E dessen Gegenteil, nämlich die Maxime der Mehrfachverwertung von vorhandenen Datensätzen.

5. Vertragsgestaltung hinsichtlich Datenzugang

Dateninhaber wollen sich grundsätzlich nur ungern von ihren Daten trennen. Als „Rohstoff der Zukunft“ verfügen diese über einen erheblichen Wert. Die Sammlung und Generierung der Daten sind ihrerseits mit einem finanziellen und zeitlichen Aufwand verbunden. Verständlicherweise wollen nur die wenigsten diesen Rohstoff mit anderen Marktteilnehmer teilen. Trotz der Pflicht zur Gewährung des Datenzugangs wäre es denkbar, dass Dateninhaber deshalb diesen Zugang vertragstechnisch schwierig oder kostenintensiv für Datenempfänger gestalten. Um eine solche Monopolisierung der Daten durch den Dateninhaber zu vermeiden, beinhaltet der DA-E auch Regeln für die Ausgestaltung von Verträgen für den Datenzugang.

Zwar soll es Parteien im Rahmen ihrer Vertragsautonomie noch möglich sein, die einzelnen Bedingungen eines solchen Vertrages auszuhandeln (EWG 39 DA-E). Die Verträge sollen aber einen minimalen status quo nicht unterschreiten. Datenzugangsverträge sollen fair, angemessen, transparent und nichtdiskriminierend sein (Art. 8 Abs. 3 DA-E). Dateninhaber sollen allen Unternehmen in einer vergleichbaren Kategorie den gleichen Zugang zu den Daten gewähren. Unterschiedliche Vertragsbedingungen sind nur erlaubt, wenn diese Unterschiede objektiv gerechtfertigt sind. Die Kommission soll in Zukunft Leitlinien dafür festlegen, unter welchen Umständen unterschiedliche Vertragsbedingungen zwischen Empfängern erlaubt sind (EWG 41 DA‑E).

Weiter ist eine Vertragsklausel in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten gem. Art. 8 Abs. 3 DA-E nicht bindend, wenn sie eine missbräuchliche Klausel nach Art. 13 DA-E darstellt oder wenn sie die Ausübung der Rechte des Nutzers nach Kapitel II ausschließt, davon abweicht oder deren Wirkung abändert. Missbräuchliche AGB gem. Art. 13 DA-E liegen dann vor, wenn die einseitig durch den Dateninhaber auferlegte Klausel in der Lage ist, dass Interesse des Datenempfängers an den Daten objektiv zu beeinträchtigen und die Verwendung der Klausel gröblich von der guten Geschäftspraxis beim Datenzugang und Datennutzung abweicht und gegen das Gebot von Treu und Glauben verstößt oder wenn ein erhebliches Ungleichgewicht zwischen der Rechten und Pflichten der Vertragsparteien verursacht. In Art. 13 DA-E befinden sich auch Regelbeispiele für missbräuchliche Klauseln. Diese Auflistung ist nicht enumerativ und kann künftig von der Kommission ergänzt werden.

Im Gegenzug haben Dateninhaber einen Anspruch auf eine angemessene Vergütung für die Bereitstellung von Daten. Diese Vergütung kann von einer bloßen Deckung für die unmittelbaren Kosten der Bereitstellung der Daten bis hin zu einer Gewinnmarge reichen.

Die Parteien sollten bei Abschluss des Vertrages alle erforderlichen rechtlichen, organisatorischen und technischen Maßnahmen treffen, um die Sicherheit und Integrität der Datenübermittlung zu gewähren. Von der Bereitstellung sind ferner Daten ausgenommen, die unter das Geschäftsgeheimnis fallen.

Es ist aber auch nicht auszuschließen, dass zumindest Gruppen von Dateninhabern zugleich einen Data-Sharing untereinander aufgeschlossener gegenüber aufgestellt sind. Erste Tendenzen in dieser Richtung sind z.B. im Automotive Bereich zu beobachten.

6. Ausblick

Während der Data Act einen innovativen Impuls der Richtung einer datengesteuerten Gesellschaft darstellt, bleibt abzuwarten, inwieweit die EU dadurch eine Vorreiterstellung einnimmt. Im Rahmen der vielen neuen EU-Rechtsakte, wie z.B. dem AI Act oder dem Digital Services Act, nimmt der DA-E jedenfalls eine Sonderrolle ein, weil er weniger einen „Top Down“-Ansatz mit einer Vielzahl von Verboten verfolgt, sondern den Marktteilnehmern einen Anspruch zur Verfügung stellt, um das gewünschte Endziel – bessere Verwertung vorhandener Daten – zu erreichen.

Weiter ist offen, ob der DA-E tatsächlich sein volles Potenzial entfalten wird oder ob ihn ein Mauerblümchendasein erwartet. Dies hängt ganz maßgeblich vom Verhalten der Markteinehmer ab. Denn nur wenn die Dateninhaber ihre generierten Daten vor dem mittelbaren Zugriff von potentiellen Dritten (Datenempfänger) tatsächlich schützen wollen, bedarf es des geschilderten Anspruchsmechanismus, um die Datenschätze (mit Gewalt) zu öffnen. Bewegt sich der Markt hingegen mehr in die Richtung einer Data-Sharing-Economy, erschöpft sich die Funktion des Herausgabeanspruchs an die Nutzer und dessen Recht an Weitergabe an Dritte auf die Inanspruchnahme von Serviceleistungen (beispielsweise die Weitergabe von KFZ-Daten an einer Reparaturwerkstatt). Denn in einer Data-Sharing-Economy, bei dem Dateninhaber und an dessen Daten interessierte Dritte (Datenempfänger) bilateral und freiwillig Daten-Austauschverträge abschließen, muss der Dritte nicht den mühsamen, mittelbaren Weg über den Nutzer einschlagen, um an die bestehenden Daten bei dem Inhaber zu kommen.